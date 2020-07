Sicherheitsforscher von Check Point haben eine Schwachstelle im Prinzip der sogenannten "Vanity URLS" der Videokonferenz-Software Zoom entdeckt. Dabei handelt es sich um URLs nach dem Schema (mein-unternehmen).zoom.us, die Firmen für ihre Videokonferenzen bei Zoom beantragen können.

Die Schwachstelle hätte es Angreifern ermöglicht, Teilnahmelinks für eigene Zoom-Konferenzen unter Verwendung legitimer Vanity URLs umzubauen, um sie als firmenspezifische Events zu tarnen. Laut Check Point und Zoom wurde sie behoben. Zooms Antwort auf eine Anfrage von heise Security zum Wann und Wie steht noch aus. Die Beseitigung dürfte aber serverseitig und somit versionsunabhängig bzw. -übergreifend erfolgt sein. Über aktive Exploits ist nichts bekannt.

Wenn der CEO unwissentlich zum Meeting lädt

Details zur geschlossenen Schwachstelle nennt Check Point in einem Blogeintrag. Demnach hätte ein Angreifer zunächst ein eigenes Meeting starten müssen, um einen (legitimen) Teilnahmelink zu generieren.

Unter Angabe einer tatsächlich existierenden Vanity URL eines beliebigen Unternehmens wäre es laut Check Point im nächsten Schritt möglich gewesen, diesen Link etwa von

https://zoom[.]us/j/7470812100 in

https://(vanity url eines unternehmens)[.]zoom[.]us/j/7470812100

zu ändern, ohne dass er seine Funktionalität eingebüßt hätte.

Eingebettet in eine E-Mail, zum Beispiel getarnt als Einladung des Firmenchefs an (potenzielle) Mitarbeiter, Geschäftspartner oder Kunden, hätte sich ein derart präparierter Link perfekt für gezielte Phishing-Angriffe geeignet.

Check Point demonstriert hier die – nun beseitigte – Schwachstelle im Video.

Ein zweiter Tarn-Layer

Um die Einladung noch überzeugender erscheinen zu lassen, hätten potenzielle Angreifer laut Check Point noch eine weitere Anpassung vornehmen können: Wenn man das "/j/" im Link nach "/s/" änderte, schickte dieser den Nutzer nicht mehr direkt ins Meeting, sondern zuvor noch zum firmenspezifischen Zoom-Anmeldebildschirm – typischerweise dekoriert mit der Corporate Identity des jeweiligen Unternehmens.

Im Anschluss an die Authentifizierung wäre das Opfer laut Check Point dann dennoch in der Veranstaltung des Angreifers gelandet. Dort wären dann verschiedene Fortsetzungen des Angriffs denkbar gewesen – so etwa die Aufforderung, eine als Firmendokument getarnte Malware herunterzuladen. Oder Social Engineering-Versuche gegenüber Personen, die den echten CEO noch nie gesehen haben.

(ovw)