Bis vor kurzem hätte man bei Zoom-Konferenzen mit manipulierten "Vanity URLs" eine beliebige Firmenzugehörigkeit vortäuschen können. Das Problem wurde behoben.
Sicherheitsforscher von Check Point haben eine Schwachstelle im Prinzip der sogenannten "Vanity URLS" der Videokonferenz-Software Zoom entdeckt. Dabei handelt es sich um URLs nach dem Schema (mein-unternehmen).zoom.us, die Firmen für ihre Videokonferenzen bei Zoom beantragen können.
Weiterlesen nach der Anzeige
Die Schwachstelle hätte es Angreifern ermöglicht, Teilnahmelinks für eigene Zoom-Konferenzen unter Verwendung legitimer Vanity URLs umzubauen, um sie als firmenspezifische Events zu tarnen. Ob sie aktiv ausgenutzt wurde, ist nicht bekannt. Wie ein Zoom-Sprecher gegenüber heise Security bestätigte, wurde sie mittlerweile behoben – und zwar serverseitig und somit versionsunabhängig bzw. -übergreifend. Nutzer müssen also nichts weiter unternehmen.
Unter Angabe einer tatsächlich existierenden Vanity URL eines beliebigen Unternehmens wäre es laut Check Point im nächsten Schritt möglich gewesen, diesen Link etwa von https://zoom[.]us/j/7470812100 in https://(vanity url eines unternehmens)[.]zoom[.]us/j/7470812100 zu ändern, ohne dass er seine Funktionalität eingebüßt hätte.
Eingebettet in eine E-Mail, zum Beispiel getarnt als Einladung des Firmenchefs an (potenzielle) Mitarbeiter, Geschäftspartner oder Kunden, hätte sich ein derart präparierter Link perfekt für gezielte Phishing-Angriffe geeignet.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden.
Damit können personenbezogene Daten an Drittplattformen (Google Ireland Limited) übermittelt werden.
Mehr dazu in unserer
Datenschutzerklärung.
Ein zweiter Tarn-Layer
Weiterlesen nach der Anzeige
Um die Einladung noch überzeugender erscheinen zu lassen, hätten potenzielle Angreifer laut Check Point noch eine weitere Anpassung vornehmen können: Wenn man das "/j/" im Link nach "/s/" änderte, schickte dieser den Nutzer nicht mehr direkt ins Meeting, sondern zuvor noch zum firmenspezifischen Zoom-Anmeldebildschirm – typischerweise dekoriert mit der Corporate Identity des jeweiligen Unternehmens.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmung wird hier eine externe Umfrage (Opinary GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden.
Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden.
Mehr dazu in unserer
Datenschutzerklärung.
Im Anschluss an die Authentifizierung wäre das Opfer laut Check Point dann dennoch in der Veranstaltung des Angreifers gelandet. Dort wären dann verschiedene Fortsetzungen des Angriffs denkbar gewesen – so etwa die Aufforderung, eine als Firmendokument getarnte Malware herunterzuladen. Oder Social Engineering-Versuche gegenüber Personen, die den echten CEO noch nie gesehen haben.
Über 90.000 Leser vertrauen bereits darauf – wählen Sie jetzt Ihr passendes Paket!
Mit heise+ lesen Sie alle Inhalte auf heise online. Zusätzlich zu unseren Magazin-Inhalten erhalten Sie damit weitere exklusive Tests, Ratgeber und Hintergründe.
