COVID-19大流行导致大量办公室工作人员在家中工作。这导致了多个倍的增加在通信和协作工具，包括会议服务的使用，如缩放。但是，视频会议服务也遇到了隐私问题。现在，该服务的Windows客户端中发现了一个更严重的漏洞。

　　该漏洞与Zoom聊天中的功能有关，该功能自动链接UNC(通用命名约定)或URL，以使用户更容易导航到其中指定的位置。但是，这些UNC也可以是Windows网络路径，这些路径将转换为链接供用户单击，然后在Windows尝试使用SMB文件共享协议连接到站点时将其用于提取用户的Windows凭据。

　　win10下载官网提示您：当用户单击路径并且OS尝试与远程站点建立连接时，它将发送用户的登录名和他们的NTLM密码哈希，黑客可以使用可以散列这些密码的工具来破解它们。这是首次发现由安全研究人员米奇(在Twitter上分享)，之后，安全研究人员马修·希基可以成功地证明变焦以及如何密码可以通过UNC在聊天中捕获的UNC注射。

　　Hickey在BleepingComputer的注释中还添加了UNC链接，这些链接也可以用于打开客户端计算机上的应用程序或程序。有趣的是，Mohamed A. Baset 在Twitter上提到， macOS上也存在类似的行为，但需要更多的用户交互。

　　Zoom尚未确认其应用程序中存在此漏洞。尽管用户不太可能与负责窃取凭据的不良行为者进行对话，但这仍然是需要解决的安全风险。

　　对于那些不想等待修复的用户，可以使用BleepingComuter发布的解决方法。但是，需要注意的是，解决方法涉及调整组策略，只有在您熟悉该接口并了解所涉及的风险的情况下，才应进行调整。