Bug-Jäger haben diese Woche einen Zoom-Fehler aufgedeckt, der die Übernahme von Dienstkonten mit Zugriff auf potenziell vertrauliche Informationen ermöglichte.
Die Schwachstelle in der Funktion „Zoom Rooms“ betraf vor allem Zoom-Mieter, die E-Mail-Adressen von großen Anbietern wie Outlook und Gmail verwenden. Der Fehler wurde erstmals bei einer ethischen Hacking- und Bug-Bounty-Veranstaltung im Juni entdeckt und von Zoom vor seiner Offenlegung gepatcht, ohne dass eine Verwendung in freier Wildbahn bekannt war.
AppOmni Offensive Security Engineer Ciarán Cotter schrieb am Dienstag erstmals in einem Blogbeitrag über die Details des Fehlers. In dem Beitrag wird erläutert, wie er und seine Kollegen die Sicherheitslücke nutzten, um auf der HackerOne H1-4420-Veranstaltung am 22. Juni Zugriff auf Zoom Rooms-Dienstkonten zu erhalten. Zoom war Sponsor der Veranstaltung und vergab Bug-Bounty-Auszahlungen an teilnehmende White-Hat-Hacker.
„Diese Schwachstelle hatte das Potenzial, es einem Angreifer zu ermöglichen, das Dienstkonto eines Zoom Room zu beanspruchen und Zugriff auf den Mandanten der Organisation des Opfers zu erhalten“, schrieb Cotter. „Als Dienstkonto hätte ein Angreifer unsichtbaren Zugriff auf vertrauliche Informationen in Team Chat, Whiteboards und anderen Zoom-Anwendungen.“
Wie könnten Zoom-Konten gekapert werden?
Zoom Rooms ist eine Funktion, die Videokonferenzen zwischen Teams an getrennten physischen Standorten ermöglicht, beispielsweise wenn ein Unternehmen Büros in mehreren Städten hat oder persönliche und Remote-Mitarbeiter in dasselbe Meeting einbeziehen möchte.
Im Gegensatz zum Zoom-Konto einer Einzelperson repräsentiert das Zoom Room-Dienstkonto jeden an einem bestimmten Standort, beispielsweise einem Konferenzraum, und „nimmt“ an Zoom-Meetings über ein Gerät an diesem Standort teil.
Wenn ein Zoom Room-Dienstkonto zum ersten Mal erstellt wird, wird ihm automatisch eine von Zoom generierte E-Mail-Adresse im Format „rooms_“ zugewiesen.
Das AppOmni-Team stellte fest, dass ein Hacker, wenn er ein E-Mail-Konto mit einem identischen Namen wie die für den Zoom Room generierte E-Mail-Adresse erstellen könnte, diese E-Mail-Adresse verwenden könnte, um sich bei Zoom anzumelden, das Konto zu aktivieren und sich dann damit anzumelden der Zoom-Mieter des Opfers. Cotter erklärte, wie das möglich ist in einem Kommentar zu X (früher bekannt als Twitter).
„Räume funktionieren als Dienstkonten, sie wurden erst aktiviert, als wir sie aktiviert haben. Es gab etwas Seltsames im Backend, das es dem Room ermöglichte, seinen Zweck als Dienstkonto ohne Aktivierung zu erfüllen, sodass wir uns damit anmelden konnten“, schrieb Cotter unter seinem Online-Benutzernamen monkehack.
Zoom-Hack könnte möglicherweise vertrauliche Informationen preisgeben
Die Hauptziele der Ausnutzung dieses Fehlers dürften Organisationen gewesen sein, die kostenlose, allgemein verfügbare E-Mail-Anbieter wie Outlook oder Gmail nutzen. Wenn die E-Mail-Adresse von Rooms beispielsweise lautet [email protected], könnte jeder ganz einfach und kostenlos ein Gmail-Konto mit demselben Namen erstellen und darauf zugreifen. Es war relativ einfach, die Service-E-Mail-Adresse eines auszunutzenden Zoom-Raums herauszufinden; Die Adresse ist für jeden verfügbar, der an einer Besprechung mit einem Raum teilnimmt oder dem Raum im Team-Chat eine Nachricht sendet.
Sobald der Kontoentführer Zugriff auf den Zoom-Mandanten erhielt, konnte er damit an Meetings teilnehmen oder diese abhalten, die Kontakte der Organisation anzeigen und auf die Whiteboards und Team-Chat-Kanäle der Organisation zugreifen. Durch die Möglichkeit, vertraulichen Besprechungen beizuwohnen, kollaborative Unternehmens-Whiteboards anzusehen und private Gespräche zwischen Mitarbeitern zu lesen, könnten wertvolle Informationen über Geschäftsstrategien, Finanzinformationen und mehr nach außen dringen. AppOmni hat außerdem festgestellt, dass das Raumkonto von keinem Administrator oder Eigentümer aus Team-Chat-Kanälen entfernt werden konnte.
„Nach mehreren Gesprächen mit dem Zoom-Team wurde die Schwachstelle validiert und umgehend behoben“, so Cotter. „Um dieses Problem zu entschärfen, hat Zoom die Möglichkeit entfernt, Zoom Room-Konten zu aktivieren.“
Ein Zoom-Sprecher sagte gegenüber SC Media: „Wir haben dieses Sicherheitsproblem behoben. Wie immer empfehlen wir Benutzern, mit der neuesten Version von Zoom auf dem Laufenden zu bleiben, um die neuesten Funktionen und Sicherheitsupdates von Zoom nutzen zu können.“
Ethische Hacker forderten ein Bug-Bounty in Höhe von 5.000 US-Dollar
Laut Cotter erhielten die White-Hat-Hacker, die den Fehler entdeckten, eine Auszahlung von 5.000 US-Dollar aus dem Bug-Bounty-Programm von Zoom getwittert dass Zoom den Schweregrad des Fehlers gemäß seinem eigenen Vulnerability Impact Scoring System (VISS) als „Hoch“ einstufte. Neben AppOmni, CEO von Ethical InfoSec Services (EIS). Jayesh Madnani trug auch zur Entdeckung des Fehlers bei.
Zoom hat in den Jahren seit dem COVID-19-Lockdown, der das Unternehmen ins Rampenlicht der Öffentlichkeit gerückt hat, eine Reihe von Maßnahmen umgesetzt, um die Sicherheit seiner Produkte zu verbessern. Damals wurde Zoom wegen einer Reihe von Zero-Day-Schwachstellen und Datenschutzproblemen heftig kritisiert, die den Zustrom neuer Benutzer beeinträchtigten.
Im Rahmen seiner Bemühungen, die Sicherheit zu erhöhen, verstärkte das Unternehmen im Jahr 2020 sein Bug-Bounty-Programm und seine Bemühungen zur Offenlegung von Schwachstellen und arbeitete mit HackerOne und Bugcrowd zusammen, um bei der Entdeckung von Schwachstellen zu helfen. Zoom vergab im Geschäftsjahr 2023 Kopfgelder in Höhe von 3,9 Millionen US-Dollar und seit Beginn des Programms mehr als 7 Millionen US-Dollar.
