Zoom behebt den Fehler, der es Angreifern ermöglicht, Kennwörter für private Besprechungen zu knacken

Als VP Product bei SearchPoint stellte Tom Anthony fest, dass Angreifer aufgrund fehlender Ratenbeschränkungen bei wiederholten Kennwortversuchen das numerische Kennwort knacken konnten, das zum Sichern privater Zoom-Besprechungen verwendet wurde.

Anthony entdeckte: „Zoom-Meetings sind (waren) standardmäßig durch ein 6-stelliges numerisches Passwort geschützt, was maximal 1 Million Passwörter bedeutet.“

Er entdeckte eine Sicherheitslücke im Zoom-Webclient, die es den Angreifern ermöglichte, das Passwort eines Meetings zu erraten, indem sie alle möglichen Kombinationen ausprobierten, bis sie das richtige fanden.

Er sagt: „Auf diese Weise kann ein Angreifer innerhalb von Minuten alle 1 Million Passwörter versuchen und Zugriff auf die privaten (passwortgeschützten) Zoom-Meetings anderer Personen erhalten. Dies wirft auch die beunruhigende Frage auf, ob andere diese Sicherheitsanfälligkeit möglicherweise bereits genutzt haben, um auf den Ruf anderer Menschen zu hören. “

Die Angreifer brauchen keine Zeit, um die Passwörter zu knacken, da sie möglicherweise nicht die gesamte Liste von 1 Million möglichen Passwörtern durchgehen müssen. Da die wiederkehrenden Besprechungen einschließlich der PMIs immer dasselbe Kennwort haben, müssen die Angreifer sie nur einmal knacken und dauerhaften Zugriff auf zukünftige Sitzungen erhalten.

Anthony konnte nachweisen, dass er das Passwort eines Meetings innerhalb von 25 Minuten knacken konnte, nachdem er 91.000 Passwörter mit einem AWS-Computer überprüft hatte. Er fügte hinzu: „Durch verbessertes Threading und die Verteilung auf 4-5 Cloud-Server können Sie den gesamten Kennwortbereich innerhalb weniger Minuten überprüfen.“

Anthony meldete das Problem mit dem Webclient am 1. April 2020 zusammen mit dem Python-Beweis an das Unternehmen, um zu zeigen, wie die Angreifer ihren Weg zu kennwortschützenden Besprechungen brutal erzwingen können. Nach dem Bericht hat das Unternehmen den Webclient heruntergefahren, um die Sicherheitsanfälligkeit zu beheben. Bereits am nächsten Tag fügte das Unternehmen auf seiner offiziellen Statusseite einen Vorfallbericht hinzu: „Zoom versetzt den Webclient in den Wartungsmodus und schaltet diesen Teil des Dienstes offline.“

Innerhalb einer Woche hat Zoom das Problem der Begrenzung der Kennwortversuchsrate behoben, indem „ein Benutzer sich anmelden muss, um an Besprechungen im Webclient teilzunehmen, und die Standardkennwörter für Besprechungen so aktualisiert werden, dass sie nicht numerisch und länger sind“.

Als wir am 1. April von diesem Problem erfuhren, haben wir den Zoom-Webclient sofort heruntergefahren, um die Sicherheit unserer Benutzer zu gewährleisten, während wir Schadensbegrenzungen implementiert haben. Seitdem haben wir die Ratenbegrenzung verbessert, die Probleme mit CSRF-Token behoben und den Webclient am 9. April neu gestartet. Mit diesen Korrekturen wurde das Problem vollständig behoben, und es war keine Benutzeraktion erforderlich. Uns sind keine Fälle bekannt, in denen dieser Exploit in freier Wildbahn verwendet wird. Wir danken Tom Anthony, dass er uns auf dieses Problem aufmerksam gemacht hat. Wenn Sie der Meinung sind, dass Sie ein Sicherheitsproblem mit Zoom-Produkten gefunden haben, senden Sie einen detaillierten Bericht an [email protected] – Zoomen