Eine Einschätzung zur "Gefährlichkeit" von Zoom und praktische Tipps der Experten Amit Serper, VP Security Strategy, Cybereason; David Kennedy, TrustedSec, und Russ Handorf, Principal Threat Intelligence Hacker, WhiteOps.
Entgegen anders lautenden Annahmen: Nein, Zoom ist keine Malware. Und ja, man kann Zoom sicher benutzen. In den letzten Tagen brodelte es in den sozialen Netzwerken (vor allem auf infosec twitter). Hier trafen die unterschiedlichsten Meinungen und Auffassungen zu den zahlreichen Sicherheitsproblemen bei Zoom aufeinander. Einige davon sind in der Tat schwerwiegender (und werden/wurden von Zoom behoben). Einige andere sind aber nicht ursächlich Fehler von Zoom selbst, sondern sie hängen mit der Funktionsweise von Betriebssystemen zusammen.
Natürlich sollte man identifizierte Sicherheitsrisiken beheben, und bisher hat Zoom das auch getan. Nach Aussagen des CEO will das Unternehmen zusätzliche Schritte unternehmen, um Bedenken auszuräumen und den Datenschutz zu gewährleisten. Möglicherweise werden im Laufe der nächsten Tage, Wochen, Monate oder Jahre weitere Schwachstellen und Risiken identifiziert – wichtig ist aber zunächst, wie das Unternehmen darauf reagiert.
Bild: Artikelautor Amit Serper ist Vice President Security Strategy bei Cybereason.
Ein Teil der Kritik war allerdings berechtigt. So hatte das Marketing des Unternehmens die End-to-End-Verschlüsselung quasi neu ausgelegt: Sie war lediglich bei der Chat-Funktion aktiv, bei den Videokonferenzen kam nur die Transportverschlüsselung per TLS zum Einsatz. Das ist inzwischen geklärt und spiegelt sich in der geänderten Terminologie des letzten Updates wider. Umgekehrt unterstützt Ciscos WebEx End-to-End (E2E), beeinträchtigt dadurch jedoch die normale Funktionalität der Lösung erheblich. Sinnvoll wäre an dieser Stelle eine branchenweit einheitliche, verbindliche Terminologie. Das würde verhindern, dass Unternehmen Standards umbenennen oder neu definieren, damit sie besser zu ihren Produkten passen. Wie im seriösen Teil der Berichterstattung behandelt, sind einige Schwachstellen schwerwiegender als andere, und es besteht die Möglichkeit, sie mittels Social Engineering auszunutzen. Viele der Probleme lassen sich aber gut eindämmen, und wir empfehlen dem Unternehmen vorausschauender als bisher zu agieren.
Innerhalb eines Tages und nach zwei Zero-Day-Exploits (ohne Patch), veröffentlichte Zoom bereits eine neue Version. Die Angriffe resultierten zum einen aus der Eskalation lokaler Berechtigungen. War es einem Angreifer bereits gelungen, ein System zu kompromittieren, konnte er auf diesem Weg weitergehende Zugriffe erlangen. Der zweite Vorfall geht auf ein Problem innerhalb des Windows-Designs zurück, eine Schwachstelle, über die sich Remote-Dateien ausführen lassen. Das betrifft folglich nicht nur Zoom.
Zoom hat beide Probleme fast sofort behoben und die Updates an seine Kunden weitergegeben. Um das Ganze etwas zu relativieren: jede einzelne Software birgt Sicherheitsrisiken oder hat Schwachstellen. In der Regel dauert es mehrere Wochen oder Monate, bis Unternehmen eine Sicherheitslücke erkennen, offenlegen und patchen. In diesem Fall hatte Zoom dazu keine Gelegenheit mehr, denn der Exploit-Code wurde online veröffentlicht. Es sei am Rande darauf hingewiesen, dass kein anderer Anbieter von Video-Telefonkonferenzen so genau unter die Lupe genommen wurde wie Zoom. Sieht man sich die Sicherheitslücken der vergangenen Jahre an, sind einige der großen Player ebenfalls nicht verschont geblieben. Und alle diese Systeme werden weiterhin genutzt:
https://www.cvedetails.com/product/18500/Cisco-Webex.html?vendor_id=16
https://www.exploit-db.com/exploits/39061
Was in den letzten Tagen passiert ist, ist insofern alarmierend, als dass die meisten der identifizierten Schwachstellen als geringes bis mittleres Risiko eingestuft würden. In der Berichterstattung wurde Zoom in die Nähe einer Malware gerückt, die jedem gefährlich wird, der die Lösung benutzt. Das ist schlicht falsch. Ein Angreifer muss bereits direkten Zugriff auf ein System haben oder eine Phishing-Kampagne mit einem klickbaren Link nutzen. Nichts, was bis zu diesem Zeitpunkt veröffentlicht wurde, würde man als substanzielles Risiko für einen Nutzer einordnen. Und welche Auswirkungen es haben kann auf bösartige Links zu klicken, das ist schon gar nicht "exklusiv" für Zoom. Damit haben wir es seit den Anfängen des Internets zu tun. Man sollte hinsichtlich Links bewährte Sicherheitspraktiken eben auch in Zoom-Sitzungen anwenden. Das gilt besonders in der komplexen Situation, in der wir uns gerade alle befinden. Zoom ist zu einem kritischen Tool geworden, mit dem viele von uns arbeiten. Und wie fast jedes andere Tool oder Programm auf dem Markt, kann es missbraucht werden.
Zusätzlich wurde über „Zoom Bombing“ berichtet. Darunter versteht man, wenn jemand einen Link oder eine persönliche Meeting-ID (PMI) öffentlich zugänglich macht. Eines der Hauptprobleme von Zoom besteht darin, dass es einfach zu nutzen IST. Es ist so konzipiert, damit Benutzer mit unterschiedlichen Vorkenntnissen problemlos zusammenarbeiten können. Bleiben solche Konfigurationen offen, werden sie zum Risiko, wenn anonyme Teilnehmer an den Meetings teilnehmen.
Was Sie tun können, um Zoom-Sitzungen zu schützen:
- Schützen Sie eine persönlichen Meeting-ID (PMI) mit einer PIN oder einem Passcode
- https://support.zoom.us/hc/en-us/articles/360033559832-Meeting-and-Webinar-Passwords-
- Nutzen Sie nur geplante Meetings. Diese generieren eindeutige IDs, die schwieriger zu erraten sind. Stellen Sie außerdem sicher, dass die Meeting-ID einen Passcode enthält.
- https://support.zoom.us/hc/en-us/articles/360033331271-Account-Setting-Update-Password-Default-for-Meeting-and-Webinar
- Wenn Sie der Meeting-Host oder Moderator sind, verwenden Sie die Webinar-Funktion, um ein Zoom-Meeting zu erstellen, nicht das Meeting selbst. Dann ist eingeschränkt, wer den Bildschirm teilen kann, was ein „Zoom Bombing“ verhindert.
- https://support.zoom.us/hc/en-us/articles/200917029-Getting-Started-With-Webinar
- Verwenden Sie für das Zoom-Konto eine Multi-Faktor-Authentifizierung (MFA). Falls ein Passwort kompromittiert wird, hat der Angreifer keinen Zugriff auf das Zoom-Konto.
- https://support.zoom.us/hc/en-us/articles/360038247071-Setting-up-and-using-two-factor-authentication
- Sperren Sie virtuelle Klassenzimmer für Schüler.
- https://blog.zoom.us/wordpress/2020/03/27/best-practices-for-securing-your-virtual-classroom/
- Aktivieren Sie eine Wartezimmerfunktion, um die Teilnehmer zu überprüfen, die in Ihren Meeting-Raum kommen. So verhindern Sie, dass ihnen unbekannte Personen am Meeting teilnehmen.
- https://blog.zoom.us/wordpress/2020/03/27/best-practices-for-securing-your-virtual-classroom/
In vielen Programmen gibt es Sicherheitslücken, und kein Code ist immun. Nicht jede Sicherheitslücke oder Exposition ist kritisch und birgt ein hohes Risiko. Das Wissen um die eigene Bedrohungslage und ein sorgfältiges Threat Modeling sind ein entscheidender Teil, wenn man Probleme und ihre möglichen Auswirkungen wirklich verstehen will. Zudem sollte man Informationen genau und verständlich vermitteln, statt unbegründete Ängste zu schüren. Zoom unterscheidet sich nicht grundsätzlich von anderen Unternehmen, und hat bereits gezeigt, dass es für Verbesserungen offen ist. Zoom lässt sich privat und im geschäftlichen Umfeld sicher einsetzen, gerade in einer Zeit der erschwerten Arbeitsbedingungen.
In diesem Zusammenhang sollte man auch einen Gedanken an diejenigen verschwenden, die dieses und andere Systeme trollen (zum Beispiel durch "Zoom Bombing"). Unter allen anderen Umständen werden Trolle ignoriert, sie bekommen für einen Moment das, was sie wollen und 15-Sekunden zweifelhaften Online-Ruhm, dann ziehen sie weiter zur nächsten Plattform. Aber in Zeiten wie diesen wirken sich solche Aktivitäten stärker auf die legitimen Nutzer eines Systems aus und führen unter Umständen zu Störungen. Wer in einem Unternehmen mit massiven Code-Pushs und Systemänderungen umgehen muss, wird daran nicht viel Freude haben. Vor jedem Computer sitzt ein Mensch, der den Betrieb aufrechterhält. Diese Einsicht sollte man beherzigen und sich entsprechend verhalten.
Sonstige Quellen:
https://www.theverge.com/interface/2020/4/3/21203720/zoom-backlash-apology-zoom-bombings-eric-yuan
https://www.wired.com/story/zoom-backlash-zero-days/
https://blog.zoom.us/wordpress/2020/04/01/a-message-to-our-users/