Aktuelles, Branche, Gastbeiträge - geschrieben von am Mittwoch, April 15, 2020 16:41 - 6 Kommentare

Sicherheit: Zoom ist keine Malware

In den letzten Tagen gab es hitzige Diskussionen in den sozialen Netzwerken

Ein Beitrag von unseren Gastautoren Amit Serper, VP Security Strategy bei Cybereason, David Kennedy, TrustedSec und Russ Handorf, PhD. Principal Threat Intelligence Hacker, WhiteOps

[datensicherheit.de, 15.04.2020] Entgegen anders lautenden Annahmen: Nein, Zoom ist keine Malware. Und ja, man kann Zoom sicher benutzen. In den letzten Tagen brodelte es in den sozialen Netzwerken (vor allem auf Zoom ist keine Malware). Hier trafen die unterschiedlichsten Meinungen und Auffassungen zu den zahlreichen Sicherheitsproblemen bei Zoom aufeinander. Einige davon sind in der Tat schwerwiegender (und werden/wurden von Zoom behoben). Einige andere sind aber nicht ursächlich Fehler von Zoom selbst, sondern sie hängen mit der Funktionsweise von Betriebssystemen zusammen.

Identifizierte Sicherheitsrisiken müssen behoben werden

Natürlich sollte man identifizierte Sicherheitsrisiken beheben, und bisher hat Zoom das auch getan. Nach Aussagen des CEO will das Unternehmen zusätzliche Schritte unternehmen, um Bedenken auszuräumen und den Datenschutz zu gewährleisten. Möglicherweise werden im Laufe der nächsten Tage, Wochen, Monate oder Jahre weitere Schwachstellen und Risiken identifiziert – wichtig ist aber zunächst, wie das Unternehmen darauf reagiert.

 

Amit Serper, VP Security Strategy bei Cybereason

Bild: Cybereason

Amit Serper, VP Security Strategy bei Cybereason

Problematische Auslegung des Begriffs Ende-zu-Ende-Verschlüsselung

Ein Teil der Kritik war allerdings berechtigt. So hatte das Marketing des Unternehmens die Ende-zu-Ende-Verschlüsselung quasi neu ausgelegt: Sie war lediglich bei der Chat-Funktion aktiv, bei den Videokonferenzen kam nur die Transportverschlüsselung per TLS zum Einsatz. Das ist inzwischen geklärt und spiegelt sich in der geänderten Terminologie des letzten Updates wider. Umgekehrt unterstützt Ciscos WebEx End-to-End (E2E), beeinträchtigt dadurch jedoch die normale Funktionalität der Lösung erheblich. Sinnvoll wäre an dieser Stelle eine branchenweit einheitliche, verbindliche Terminologie. Das würde verhindern, dass Unternehmen Standards umbenennen oder neu definieren, damit sie besser zu ihren Produkten passen. Wie im seriösen Teil der Berichterstattung behandelt, sind einige Schwachstellen schwerwiegender als andere, und es besteht die Möglichkeit, sie mittels Social Engineering auszunutzen. Viele der Probleme lassen sich aber gut eindämmen, und wir empfehlen dem Unternehmen vorausschauender als bisher zu agieren.

Zero-Day-Exploits durch Eskalation lokaler Berechtigungen

Innerhalb eines Tages und nach zwei Zero-Day-Exploits (ohne Patch), veröffentlichte Zoom bereits eine neue Version. Die Angriffe resultierten zum einen aus der Eskalation lokaler Berechtigungen. War es einem Angreifer bereits gelungen, ein System zu kompromittieren, konnte er auf diesem Weg weitergehende Zugriffe erlangen. Der zweite Vorfall geht auf ein Problem innerhalb des Windows-Designs zurück, eine Schwachstelle, über die sich Remote-Dateien ausführen lassen. Das betrifft folglich nicht nur Zoom.

Zoom hat beide Probleme fast sofort behoben und die Updates an seine Kunden weitergegeben. Um das Ganze etwas zu relativieren: jede einzelne Software birgt Sicherheitsrisiken oder hat Schwachstellen. In der Regel dauert es mehrere Wochen oder Monate, bis Unternehmen eine Sicherheitslücke erkennen, offenlegen und patchen. In diesem Fall hatte Zoom dazu keine Gelegenheit mehr, denn der Exploit-Code wurde online veröffentlicht. Es sei am Rande darauf hingewiesen, dass kein anderer Anbieter von Video-Telefonkonferenzen so genau unter die Lupe genommen wurde wie Zoom. Sieht man sich die Sicherheitslücken der vergangenen Jahre an, sind einige der großen Player ebenfalls nicht verschont geblieben. Und alle diese Systeme werden weiterhin genutzt:

https://www.cvedetails.com/product/18500/Cisco-Webex.html?vendor_id=16

https://www.notebookcheck.net/GoToMeeting-ist-found-to-be-potential-susceptible-to-hacking.442684.0.html

https://www.exploit-db.com/exploits/39061

Was in den letzten Tagen passiert ist, ist insofern alarmierend, als dass die meisten der identifizierten Schwachstellen als geringes bis mittleres Risiko eingestuft würden. In der Berichterstattung wurde Zoom in die Nähe einer Malware gerückt, die jedem gefährlich wird, der die Lösung benutzt. Das ist schlicht falsch. Ein Angreifer muss bereits direkten Zugriff auf ein System haben oder eine Phishing-Kampagne mit einem klickbaren Link nutzen. Nichts, was bis zu diesem Zeitpunkt veröffentlicht wurde, würde man als substanzielles Risiko für einen Nutzer einordnen. Und welche Auswirkungen es haben kann auf bösartige Links zu klicken, das ist schon gar nicht „exklusiv“ für Zoom. Damit haben wir es seit den Anfängen des Internets zu tun. Man sollte hinsichtlich Links bewährte Sicherheitspraktiken eben auch in Zoom-Sitzungen anwenden. Das gilt besonders in der komplexen Situation, in der wir uns gerade alle befinden. Zoom ist zu einem kritischen Tool geworden, mit dem viele von uns arbeiten. Und wie fast jedes andere Tool oder Programm auf dem Markt, kann es missbraucht werden.

Zusätzlich wurde über „Zoom Bombing“ berichtet. Darunter versteht man, wenn jemand einen Link oder eine persönliche Meeting-ID (PMI) öffentlich zugänglich macht. Eines der Hauptprobleme von Zoom besteht darin, dass es einfach zu nutzen IST. Es ist so konzipiert, damit Benutzer mit unterschiedlichen Vorkenntnissen problemlos zusammenarbeiten können. Bleiben solche Konfigurationen offen, werden sie zum Risiko, wenn anonyme Teilnehmer an den Meetings teilnehmen.

Was Sie tun können, um Zoom-Sitzungen zu schützen:

In vielen Programmen gibt es Sicherheitslücken, und kein Code ist immun. Nicht jede Sicherheitslücke oder Exposition ist kritisch und birgt ein hohes Risiko. Das Wissen um die eigene Bedrohungslage und ein sorgfältiges Threat Modeling sind ein entscheidender Teil, wenn man Probleme und ihre möglichen Auswirkungen wirklich verstehen will. Zudem sollte man Informationen genau und verständlich vermitteln, statt unbegründete Ängste zu schüren. Zoom unterscheidet sich nicht grundsätzlich von anderen Unternehmen, und hat bereits gezeigt, dass es für Verbesserungen offen ist. Zoom lässt sich privat und im geschäftlichen Umfeld sicher einsetzen, gerade in einer Zeit der erschwerten Arbeitsbedingungen.

In diesem Zusammenhang sollte man auch einen Gedanken an diejenigen verschwenden, die dieses und andere Systeme trollen (zum Beispiel durch „Zoom Bombing“). Unter allen anderen Umständen werden Trolle ignoriert, sie bekommen für einen Moment das, was sie wollen und 15-Sekunden zweifelhaften Online-Ruhm, dann ziehen sie weiter zur nächsten Plattform. Aber in Zeiten wie diesen wirken sich solche Aktivitäten stärker auf die legitimen Nutzer eines Systems aus und führen unter Umständen zu Störungen. Wer in einem Unternehmen mit massiven Code-Pushs und Systemänderungen umgehen muss, wird daran nicht viel Freude haben. Vor jedem Computer sitzt ein Mensch, der den Betrieb aufrechterhält. Diese Einsicht sollte man beherzigen und sich entsprechend verhalten.

Sonstige Quellen:

https://www.theverge.com/interface/2020/4/3/21203720/zoom-backlash-apology-zoom-bombings-eric-yuan

https://www.wired.com/story/zoom-backlash-zero-days/

https://www.forbes.com/sites/kateoflahertyuk/2020/04/03/use-zoom-here-are-7-essential-steps-you-can-take-to-secure-it/#2f6fe5387ae1

Weitere Informationen zum Thema:

datensicherheit.de, 27.03.2020
Zoom, Skype, Teams und Co. – Sicherer Gebrauch von Web-Konferenzensystemen

datensicherheit.de, 24.03.2020
Webinare: Innovatives Lernen in Corona-Zeiten

datensicherheit.de, 20.05.2019
Tenable Research: Download-Schwachstelle in Slack entdeckt

datensicherheit.de, 29.11.2018
Zoom-Konferenzsystem: Tenable Research entdeckt Schwachstelle



6 Kommentare

Sie können Kommentare zu diesem Eintrag über den RSS-2.0-Feed verfolgen. Sie können einen Kommentar hinterlassen oder einen Trackback von Ihrer Website hierher setzen.

Christopher
Apr 19, 2020 14:48

Hi!
Ich finde Deinen Beitrag schlüssig und gut geschrieben. Ich berate zur Zeit überwiegend kostenlos viele Bildungseinrichtungen in Bezug auf verschiedene technische Themen, unter Anderem auch Konferenzsysteme und spüre diese extremen Entwicklungen grad in Bezug auf Zoom. Bei Facebook erreichen wir mit unseren Posts die Zielgruppen ganz gut und führen hier auch immer mal Diskussionen zu dem Thema.
Würdest Du mir wohl in einem Zoom ein Interview zu eben diesen Artikel geben? Das ganze würde vermutlich keine 20 Minuten dauern. Ich würde mich sehr freuen, wenn wir uns hier austauschen könnten und Du mich beim Versuch der Entspannung unterstützen würdest 🙂
Die Fragen würde ich Dir natürlich zukommen lassen und Du könntest den Rahmen und die Inhalte frei wählen.

Lieben Gruß
Chris

City Immobilienmakler
Apr 21, 2020 9:46

Ich habe über Zoom jetzt schon mehrfach gelesen, dass es den Datenschutzrichtlinien nicht entspricht.
Mit meinem Fußballteam haben wir es schon regelmäßig genutzt. Auf der Arbeit bin ich noch sehr skeptisch.
Liebe Grüße

Malware: Falsche Zoom-App installiert Cryptominer - datensicherheit.de
Apr 22, 2020 13:02

[…] datensicherheit.de, 15.04.2020 Sicherheit: Zoom ist keine Malware […]

Zoom-Konferenzen: Sechs Tipps für den sicheren Umgang - datensicherheit.de
Apr 23, 2020 19:36

[…] datensicherheit.de, 15.04.2020 Sicherheit: Zoom ist keine Malware […]

Zoom kündigt Version 5.0 mit Updates für Sicherheit und Datenschutz an - datensicherheit.de
Apr 23, 2020 21:04

[…] datensicherheit.de, 15.04.2020 Sicherheit: Zoom ist keine Malware […]

Thomas Alders
Mai 26, 2020 16:42

(24.05.2020) Der Bundesdatenschutzbeauftragte Ulrich Kelber hat vor der Nutzung des gerade während der Corona-Krise beliebten Videokonferenz-Anbieters Zoom gewarnt. „Derzeit gibt es keine Ende-zu-Ende-Verschlüsselung. Das heißt: Die Inhalte der Kommunikation liegen unverschlüsselt auf dem Server des Anbieters“, sagte Kelber dem „Handelsblatt“ laut Vorabmeldung vom Sonntag. „Damit ist von dieser Kommunikationsform abzuraten, wenn personenbezogene Daten im Spiel sind. Es sollten dann alternative Plattformen gewählt werden, wo eine echte Ende-zu-Ende-Verschlüsselung garantiert ist.“

https://www.welt.de/politik/article208239959/Datenschutz-Beauftragter-warnt-vor-Videokonferenz-Anbieter-Zoom.html

Kommentieren

Kommentar

Theiners SecurityTalk

Neue Folge!
Identity & Access Management mit LastPath vom 17.06.2020

Kooperation

TeleTrusT - Bundesverband IT-Sicherheit e.V.

Kooperation

Initiative Digital

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cyber-Sicherheit

Partner

ZIM-BB

Gefragte Themen


Datenschutzerklärung