Letzte Woche veröffentlichte der Forscher Jonathan Leytsach einen sehr emotionalen Beitrag über die
Sicherheitslücken von Zoom-Webkonferenz-Clients für macOS. In diesem Fall ist nicht ganz klar, ob die Sicherheitsanfälligkeit ein unbeabsichtigter Fehler oder eine vorgeplante Funktion war. Versuchen wir es herauszufinden, aber kurz gesagt, es stellt sich folgendermaßen heraus: Wenn Sie den Zoom-Client installiert haben, kann der Angreifer Sie ohne Aufforderung mit seiner Newsgroup verbinden. Außerdem kann er die Webcam aktivieren, ohne zusätzliche Berechtigungen anzufordern.
In dem Moment, in dem jemand nach einer gepatchten Version sucht, beschließt er, den Client einfach aus dem System zu entfernen. In diesem Fall hilft es jedoch nicht: Auf dem Client wird ein Webserver installiert, der auch nach der Deinstallation funktioniert. Er kann die Client-Software sogar an ihren Platz zurücksetzen. Somit waren selbst diejenigen in Gefahr, die einst Zoom-Dienste nutzten, dann aber aufhörten. Apple kam ihnen zu Hilfe, ohne viel Fanfare, die den Webserver mit einem Update für das Betriebssystem entfernte. Diese Geschichte ist ein echtes Infosec-Drama, in dem Benutzer nur sehen können, wie verschiedene Software auf ihren Computern erscheint und verschwindet.
Die Untersuchung der Arbeitsmethoden des Zoom-Clients begann mit der Untersuchung des lokalen Webservers: Die Service-Website versucht, beim Öffnen eines Links auf eine Newsgroup zuzugreifen, um darauf zuzugreifen. Eine relativ elegante Methode wurde verwendet, um den Status eines lokalen Servers abzufragen - indem ein Bild eines bestimmten Formats übertragen wurde.
Dies geschieht, um die Einschränkungen des Browsers gemäß den Regeln der
Cross-Origin Resource Sharing zu umgehen. Sie können auch eine Konferenzverbindungsanforderung an den Zoom-Webserver senden. Diese Abfrage sieht ungefähr so aus:
Sie können eine Konferenz erstellen, eine ähnliche Anfrage auf einer Webseite platzieren, einen Link an das Opfer senden, und der auf dem Computer installierte Client verbindet den Benutzer automatisch. Weiterhin lohnt es sich, die Parameter der Webkonferenz selbst zu betrachten:
Sie haben die Möglichkeit, die Webcam des Benutzers zum Einschalten zu zwingen. Das heißt, Sie können eine ahnungslose Person in eine Telefonkonferenz locken und sofort ein Bild von der Kamera empfangen (das Opfer muss jedoch den Ton vom Mikrofon manuell einschalten). Im Zoom-Client kann die automatische Aufnahme der Kamera blockiert werden. Mit den Standardeinstellungen wird die Kamera jedoch sofort eingeschaltet. Übrigens, wenn Sie Anfragen senden, um kontinuierlich eine Verbindung zur Konferenz herzustellen, wechselt die Zoom-Anwendung ständig den Fokus auf sich selbst und verhindert, dass der Benutzer diese Aktion irgendwie abbricht. Dies ist ein klassischer Denial Of Service-Angriff.
Schließlich bestätigte der Forscher die Möglichkeit, ein Upgrade oder eine Neuinstallation des Zoom-Clients zu erzwingen, wenn auf dem Computer ein Webserver ausgeführt wird. Die Reaktion des Anbieters war anfangs alles andere als ideal. Die Entwickler von Zoom schlugen verschiedene Optionen für „Patches“ in der Logik des Webservers vor, um die Möglichkeit auszuschließen, Benutzer ohne Nachfrage zu verbinden. Alle haben sich leicht herumgesprochen oder das Leben eines potenziellen Angreifers ein wenig kompliziert. Die endgültige Lösung bestand darin, einen weiteren Parameter hinzuzufügen, der an den lokalen Server übergeben wurde. Wie der Forscher herausfand, löste es das Problem auch nicht. Das einzige, was genau repariert wurde, war die Sicherheitslücke, die einen DoS-Angriff ermöglichte. Und auf Jonathans Vorschlag, auf Wunsch des Konferenzorganisators die Aufnahme einer Webcam zu entfernen, wurde die Antwort vollständig gegeben, dass dies eine Funktion ist, "die für Kunden bequemer ist".
Das erste Mal, dass ein Forscher am 8. März versuchte, mit Zoom-Entwicklern in Kontakt zu treten. Am 8. Juli lief die allgemein akzeptierte Frist von drei Monaten zur Behebung der Sicherheitsanfälligkeit ab, und Jonathan veröffentlichte einen Beitrag über das, was er als ungelöstes Problem ansah. Erst nach der Veröffentlichung des Artikels ergriff Zoom radikalere Maßnahmen: Am 9. Juli wurde
ein Patch veröffentlicht , der den Webserver vollständig von Computern entfernt, auf denen macOS ausgeführt wird.
Sehr geehrte Redakteure kommunizieren regelmäßig per Videokonferenz und können aus eigener Erfahrung sagen: Jeder macht es. Nicht in dem Sinne, dass jeder einen lokalen Webserver mit dem Client installiert und dann vergisst, ihn zu löschen. Alle oder fast alle Konferenzdienste erfordern mehr Berechtigungen auf dem System, als eine Browserseite bieten kann. Daher werden lokale Anwendungen, Browsererweiterungen und andere Tools verwendet, damit das Mikrofon und die Kamera während des Kommunikationsprozesses funktionieren und Sie Dateien und das Bild Ihres Desktops gemeinsam nutzen können. Ehrlich gesagt ist die "Verwundbarkeit" (oder vielmehr ein absichtlicher Fehler in der Logik) von Zoom nicht das Schlimmste, was mit solchen Diensten passiert ist.
Im Jahr 2017 wurde ein Problem in der Browsererweiterung eines anderen Konferenzdienstes entdeckt - Cisco Webex. In diesem Fall ermöglichte die Sicherheitsanfälligkeit die Ausführung von beliebigem Code auf dem System. Im Jahr 2016 stellte der Trend Micro-Passwort-Manager auch ein Problem auf dem
lokalen Webserver fest, das auch die Möglichkeit der Ausführung von willkürlichem Code eröffnete. Ende letzten Jahres haben wir über eine Lücke im Logitech-Dienstprogramm für Tastatur und Maus geschrieben: Selbst dort haben wir einen lokalen Webserver verwendet, auf den von überall aus zugegriffen werden konnte.
Fazit: Dies ist eine weit verbreitete Praxis, obwohl sie aus Sicherheitsgründen eindeutig nicht die beste ist - es gibt zu viele potenzielle Lücken bei einem solchen Webserver. Insbesondere, wenn es standardmäßig für die Interaktion mit externen Ressourcen erstellt wurde (z. B. einer Site, die eine Webkonferenz initiiert). Vor allem, wenn es nicht gelöscht werden kann. Die Möglichkeit, den Zoom-Client nach der Deinstallation schnell wiederherzustellen, wurde explizit entweder zum Nutzen der Benutzer oder des Entwicklers vorgenommen. Nach der Veröffentlichung der Studie brachte dies jedoch zusätzliche Probleme mit sich. Okay, aktive Zoom-Benutzer haben ein Update erhalten und das Problem wurde behoben. Und was tun mit denen, die einmal den Zoom-Client verwendet und dann gestoppt haben, aber der lokale Webserver funktioniert immer noch für sie? Wie sich herausstellte, hat Apple leise ein Update veröffentlicht, mit dem der Webserver auch in diesem Fall entfernt wird.
Wir müssen dem Entwickler des Zoom-Dienstes Tribut zollen: Nach einer negativen öffentlichen Reaktion haben sie das Problem gelöst und
teilen nun regelmäßig
Updates mit den Benutzern. Dies ist eindeutig keine Erfolgsgeschichte: Auch hier versuchte der Entwickler höflich, die wirklichen Vorschläge des Forschers zu ignorieren, und der Forscher nannte das, was er nicht ganz als „Tyrann“ bezeichnet. Aber am Ende endete alles gut.
Haftungsausschluss: Die in dieser Übersicht geäußerten Meinungen stimmen möglicherweise nicht immer mit der offiziellen Position von Kaspersky Lab überein. Sehr geehrte Redakteure empfehlen generell, Meinungen mit gesunder Skepsis zu behandeln.