Videokonferenzsoftware Zoom: Präparierte Teilnahmelinks ermöglichten Phishing
Bis vor kurzem hätte man bei Zoom-Konferenzen mit manipulierten "Vanity URLs" eine beliebige Firmenzugehörigkeit vortäuschen können. Das Problem wurde behoben.
(Bild: Check Point / YouTube)
Sicherheitsforscher von Check Point haben eine Schwachstelle im Prinzip der sogenannten "Vanity URLS" der Videokonferenz-Software Zoom entdeckt. Dabei handelt es sich um URLs nach dem Schema (mein-unternehmen).zoom.us, die Firmen für ihre Videokonferenzen bei Zoom beantragen können.
Die Schwachstelle hätte es Angreifern ermöglicht, Teilnahmelinks für eigene Zoom-Konferenzen unter Verwendung legitimer Vanity URLs umzubauen, um sie als firmenspezifische Events zu tarnen. Ob sie aktiv ausgenutzt wurde, ist nicht bekannt. Wie ein Zoom-Sprecher gegenüber heise Security bestätigte, wurde sie mittlerweile behoben – und zwar serverseitig und somit versionsunabhängig bzw. -übergreifend. Nutzer müssen also nichts weiter unternehmen.
Wenn der CEO unwissentlich zum Meeting lädt
Details zur geschlossenen Schwachstelle nennt Check Point in einem Blogeintrag. Demnach hätte ein Angreifer zunächst ein eigenes Meeting starten müssen, um einen (legitimen) Teilnahmelink zu generieren.
Unter Angabe einer tatsächlich existierenden Vanity URL eines beliebigen Unternehmens wäre es laut Check Point im nächsten Schritt möglich gewesen, diesen Link etwa von
https://zoom[.]us/j/7470812100 in
https://(vanity url eines unternehmens)[.]zoom[.]us/j/7470812100
zu ändern, ohne dass er seine Funktionalität eingebüßt hätte.
Eingebettet in eine E-Mail, zum Beispiel getarnt als Einladung des Firmenchefs an (potenzielle) Mitarbeiter, Geschäftspartner oder Kunden, hätte sich ein derart präparierter Link perfekt für gezielte Phishing-Angriffe geeignet.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Google Ireland Limited) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Ein zweiter Tarn-Layer
Um die Einladung noch überzeugender erscheinen zu lassen, hätten potenzielle Angreifer laut Check Point noch eine weitere Anpassung vornehmen können: Wenn man das "/j/" im Link nach "/s/" änderte, schickte dieser den Nutzer nicht mehr direkt ins Meeting, sondern zuvor noch zum firmenspezifischen Zoom-Anmeldebildschirm – typischerweise dekoriert mit der Corporate Identity des jeweiligen Unternehmens.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Im Anschluss an die Authentifizierung wäre das Opfer laut Check Point dann dennoch in der Veranstaltung des Angreifers gelandet. Dort wären dann verschiedene Fortsetzungen des Angriffs denkbar gewesen – so etwa die Aufforderung, eine als Firmendokument getarnte Malware herunterzuladen. Oder Social Engineering-Versuche gegenüber Personen, die den echten CEO noch nie gesehen haben.
Update 21.07.20, 10:18: Ergänzung im zweiten Absatz der Meldung bezüglich Schwachstellen-Fix. (ovw)
