بهطور معمول، کاربران هنگام استفاده از قابلیت تماس تصویری در برنامه زوم، میتوانند با ارسال پیامهای متنی از طریق رابط چت با یکدیگر ارتباط برقرار کنند. هنگام ارسال پیام متنی، هر آدرس URL بهصورت خودکار به یک هایپرلینک تبدیل شده و دیگر کاربران با کلیک روی آن میتوانند یک صفحه وب در مرورگر پیشفرض خود باز کنند.
براساس خبرهای منتشر شده، بررسیهای محققان امنیتی ثابت کرده است که برنامه زوم همچنین مسیرهای شبکهای UNC ویندوز را به یک لینک قابل کلیک در پیامهای متنی تبدیل میکند و بر همین اساس، اگر یک کاربر روی لینک مسیر UNC کلیک کند، ویندوز تلاش میکند تا با استفاده از پروتکل اشتراکگذاری فایل SMB، به مقصد مورد نظر از راه دور متصل شود و برای مثال یک فایل را باز کند.
نکته مهم در این موضوع آن است که هنگام انجام این کار، ویندوز بهطور خودکار نام کاربر و رمزعبور هش شده سیستم او را ارسال میکند که با استفاده از ابزارهای رایگان قابل کرک کردن است.
از طرف دیگر، مشکل اصلی این آسیبپذیری زمانی نگران کنندهتر از همیشه میشود که با قدرت کنونی کارتهای گرافیک و CPUها، برنامهای مانند Hashcat قادر به خارج کردن گذرواژهها از هشها هستند. همچنین از تزریق UNC هنگام کلیک روی یک لینک، علاوه بر سرقت اطلاعات ویندوز، میتوان برای اجرای برنامههایی در کامپیوتر محلی استفاده کرد.
در همین رابطه، شرکت توسعهدهنده برنامه زوم با انتشار بیانیهای ضمن تایید این آسیبپذیری، اعلام کرده است که این مشکل را در نسخه 4.6.19253.0401 رفع کرده است.