Geschreven door: Marketing Networking4all

In samenwerking met onze pentester: Martin Knuijsting

De kwetsbaarheid van deze week heeft te maken met de video conference applicatie, Zoom. Op dit moment gebruiken veel mensen deze applicatie omdat zij genoodzaakt zijn om thuis te werken vanwege de Corona crisis. Om dan toch met collega’s of klanten in contact te blijven, is videobellen de enige optie. Een belangrijke vereiste hierbij is dat dit ook veilig gebeurt. Tijdens videobellen worden soms bedrijfsgevoelige gegevens uitgewisseld. Wanneer deze gegevens onderschept worden, kan dit een risico zijn voor uw organisatie.  

Dit is ook de reden dat er over de Zoom applicatie de laatste tijd veel ophef is geweest. Om u bewust te maken van deze risico’s en aan te kunnen tonen wat er precies op de achtergrond gebeurt bij een kwaadwillende, hebben wij deze kwetsbaarheid laten onderzoeken door één van onze pentesters. De uitvoering van het onderzoek en wat de kwetsbaarheden nu precies inhouden kunt u in dit artikel vinden.

Kwetsbaarheden van Zoom in een macOS client

In de macOS client van Zoom kwamen twee 0-day (zero day) fouten aan het licht. Een 0-day exploit is een computer dreiging die probeert misbruik te maken van zwakke delen in software die onbekend zijn voor anderen of de software ontwikkelaar. Eén van deze kwetsbaarheden is dat kwaadwillenden zonder privileges, root privileges (admin rechten) kunnen verkrijgen en zichzelf zo toegang verschaffen tot het systeem van de slachtoffers.

Een andere kwetsbaarheid geeft een kwaadwillende toegang tot de microfoon en de camera van Zoom. Zo kan de kwaadwillende Zoom vergaderingen opnemen, of het persoonlijke leven van de slachtoffers te bekijken. Dit alles is mogelijk zonder dat de slachtoffers een toegangsmelding krijgen. Zij weten dus niet dat iemand anders meekijkt- en luistert. 

Voor Zoom is toegang tot een microfoon en camera nodig. Ondanks dat de recente versie van macOS expliciete toestemming van de gebruiker vereist voor deze rechten, heeft Zoom een “uitzondering” die het mogelijk maakt dat code wordt geïnjecteerd door externe bibliotheken. Een kwaadaardige bibliotheek van een derde partij kan in het proces van Zoom worden geladen. Waardoor alle toegangsrechten voor Zoom automatisch worden verkregen en de kwaadwillende uiteindelijk de controle kan krijgen over de camera en microfoon rechten.

Kwetsbaarheid in de Windows client

Onlangs kwam nog een Universal Naming Convention (UNC) aan het licht in de Windows client van Zoom. De kwetsbaarheid werd eerst ontdekt door een gebruiker van Twitter onder naam ‘g0dmode’ en later geverifieerd door veiligheidsonderzoeker Matthew Hickey, van de organisatie Hacker House.

De kwetsbaarheid maakt het mogelijk de credentials van Windows te bemachtigen. Dit gebeurt door het delen van een (UNC) link. Als het slachtoffer op de link klikt, worden de credentials verstuurd naar de aanvaller. Door gebruik te maken van een programma als Responder, kan hij deze informatie makkelijk lezen. De NTLMv2 hash kan je kraken met bijvoorbeeld ‘John the Ripper’. Dit is een bruteforce programma dat standaard in Kali Linux zit.

Een slachtoffer ziet ook geen melding verschijnen van Windows Defender en heeft dus niet in de gaten wat er gaande is. Dit was voor ons een reden om deze (grote) kwetsbaarheid te testen, aangezien de gevolgen zeer ernstig kunnen zijn. Na het downloaden van een oudere versie van Zoom waren we in staat om de PoC te realiseren. En konden we zonder waarschuwing voor het slachtoffer de credentials bemachtigen.

 Hieronder ziet u een screenshot van de PoC (Proof of Concept).

Geautomatiseerde tool voor Zoom

‘zWarDial’ is ook sinds kort op het toneel verschenen. Dit is een geautomatiseerde tool die ontwikkeld is door beveiligingsonderzoekers. zWarDial is in staat zo’n 100 Zoom ID’s voor meetings per uur te vinden. Het programma gokt de elf cijfers van een Zoom-meeting automatisch en verzamelt zodoende gegevens over de gevonden meetings. Hierdoor wordt het voor kwaadwillenden een stuk makkelijker een “Zoombombing” uit te voeren. In de nieuwste versie van de Zoom applicatie is de maatstaf veranderd door een wachtwoord toe te voegen aan de uitnodiging van een meeting.

‘Zoombombing’

Naast dat gebruikers van Zoom mogelijk risico’s ondervinden in de vorm van bijvoorbeeld diefstal van credentials, is er ook overlast gemeld van gebruikers die worden lastig gevallen door kwaadwillenden die inbreken in een meeting. De ‘inbrekers’ uiten dreigende taal of tonen ongepaste beelden. De FBI heeft gebruikers van de applicatie voor dit soort taferelen gewaarschuwd.  Deze ongewenste interrupties tijdens een meeting noeme we ook wel “Zoombombing” aanvallen.

Zorg dat uw applicaties up-to-date zijn

Zoom heeft meteen maatregelen genomen om al deze kwetsbaarheden te verhelpen.

De vraag is alleen, hoe lang duurt het voordat het weer mis gaat?

Dus tot slot; wees oplettend als u de Zoom applicatie gebruikt.

Het is uitzonderlijk dat een video applicatie veel kwetsbaarheden bevat. Maar nu veel mensen dit programma gebruiken omdat er meer thuis gewerkt wordt, neemt de kans op een aanval toe. Zorg er daarom voor dat uw applicaties altijd up-to-date zijn. Maakt u zich zorgen over de veiligheid bij het thuiswerken? Neem dan contact op met één van onze medewerkers om uw systeem te laten testen op kwetsbaarheden.

Meer weten

Wilt u meer weten over onze dienst of werkwijze? Neem dan gerust contact met ons op door ons te bellen op : 020 788 10 30. Onze medewerkers zijn u graag van dienst.

In het nieuws:
https://www.nu.nl/tech/6045987/nederlandse-scholen-doen-videobeldienst-zoom-massaal-in-de-ban.html
https://www.nrc.nl/nieuws/2020/04/01/is-zoom-wel-veilig-en-vijf-andere-vragen-over-videobellen-a3995584
https://www.consumentenbond.nl/alles-in-1/zoom
https://www.iculture.nl/tips/zoom-beveiliging/
https://www.nporadio1.nl/consument/22757-zoom-alweer-in-opspraak-welke-app-kun-je-dan-gebruiken-voor-videobellen
https://www.security.nl/posting/650432/Zoom+erkent+privacy-+en+veiligheidsproblemen%2C+dicht+lekken
https://privacyzeker.nl/2020/04/08/wat-is-een-veilig-alternatief-voor-zoom/


Deel artikel via: