Zoom-Meeting: Passwörter binnen kurzer Zeit knackbar

[English]Heftige Geschichte – der Videodienst Zoom brüstet sich zwar mit ‘verstärkter Sicherheit’, macht aber Anfängerfehler. So wurden standardmäßig für private Meetings Passwörter mit 6 Ziffern vergeben, die sich per Brute-Force leicht knacken ließen.


Anzeige

Zoom führte im April 2020 einen Passcode für alle privaten Video-Sitzungen ein. Das war eine Reaktion zur Bekämpfung von Zoom-Bombenangriffen, bei denen Dritte in private Meetings, zu denen sie nicht eingeladen waren, eindringen und stören konnten. Es war sogar möglich, private Zoom-Meetings zu kapern.

The Hacker news weist hier aber auf eine schwere Sicherheitslücke in diesen Passcodes hin. Zoom-Meetings waren bis vor kurzem standardmäßig nur durch ein sechsstelliges numerisches Passwort geschützt. Tom Anthony, VP Product bei SearchPilot,stieß auf ein Problem, dass er so beschreibt:

Zoom meetings were default protected by a 6 digit numeric password, meaning 1 million maximum passwords. I discovered a vulnerability in the Zoom web client that allowed checking if a password is correct for a meeting, due to broken CSRF and no rate limiting.

This enabled an attacker to attempt all 1 million passwords in a matter of minutes and gain access to other people’s private (password protected) Zoom meetings.

Zoom-Meetings waren standardmäßig durch ein 6-stelliges numerisches Passwort geschützt, d.h. was waren maximal 1 Million Passwörter denkbar. Dann entdeckte Anthony eine Schwachstelle im Zoom-Webclient. Diese ermöglichte es durch Ausprobieren zu überprüfen, ob ein Passwort für eine Besprechung korrekt ist. Das Problem war nämlich, dass der CSRF defekt war und es keine Ratenbegrenzung für die Zahl der Anmeldeversuche gab. Das Kürzel CSRF steht für Cross-Site-Request-Forgery, in Angriff auf ein Computersystem, bei dem der Angreifer eine Transaktion in einer Webanwendung durchführt. Da die Zahl der Anmeldeversuche nicht begrenzt wurde, konnte Anthony (und natürlich ein Angreifer) alle 1 Million Passwörter in wenigen Minuten ausprobieren und Zugang zu den privaten (passwortgeschützten) Zoom-Meetings anderer Personen zu erhalten.

Anthony meldete das Problem an Zoom, die den Web-Client schnell offline nahmen, um das Problem zu beheben. Zoom hat das Problem dadurch entschärft, indem sie sowohl eine Benutzeranmeldung für die Teilnahme an Besprechungen im Web-Client verlangten als auch die Standardkennwörter für Besprechungen nicht mehr numerisch und länger sind. Daher funktioniert dieser Angriff nicht mehr.

Ähnliche Artikel:
Microsoft Teams: Schwachstelle erlaubte Kontenübernahme
Microsoft Teams und die Sicherheit …
Microsoft ‘mahnt’ Berliner Datenschutzbeauftragte ab
Zoom & Teams nicht DSGVO-konform einsetzbar
0patch für 0-day RCE-Schwachstelle in Zoom für Windows
Zoom: von 200 auf 300 Millionen Nutzer pro Tag
Sicherheitsbedenken: Zoom in einigen US-Schulen verbannt
Zoom: Nutzer-Explosion und Sicherheitsprobleme
Zoom kappt Datentransfer zu Facebook in iOS-App


Anzeige


Dieser Beitrag wurde unter Sicherheit, Software abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.