Defcon en zoom

Zoom-gaten getoond op hackersconferentie

Een security-onderzoeker heeft een reeks beveiligingsgaten in Zoom uit de doeken gedaan op DEF CON 28. Deze kwetsbaarheden waren in april al gemeld aan Zoom. Een week geleden heeft het bedrijf al patches doorgevoerd. Eén van de kwetsbaarheden was een verkeerd geconfigureerde ontwikkelomgeving van Zoom zelf die sinds september vorig jaar niet was geüpdatet.

Beveiligingsexpert Mazin Ahmed, die voorheen bij de end-to-end versleutelde maildienst ProtonMail werkte, heeft videovergaderplatform Zoom uitgebreid aan de tand gevoeld. Daarbij heeft hij diverse bugs en kwetsbaarheden gevonden, die hij heeft gemeld aan Zoom. Daarbij is hij wel op communicatieproblemen gestuit. “Er zijn veel dingen die gedaan hadden kunnen worden, om de melding van kwetsbaarheden bij Zoom te verbeteren”, stelt Ahmed.

Toch niet end-to-end encrypted
Nu – op de online gehouden hackersconferentie DEF CON 28 – heeft hij zijn bevindingen openlijk gepresenteerd. Een van de zeker zeven beveiligingsproblemen die Ahmed heeft ontdekt, is dat end-to-end encrypted berichten tussen Zoom-gebruikers op Linux onversleuteld worden opgeslagen door het bedrijf. De chatcommunicatie die volledig versleuteld zou moeten zijn, blijkt in plain-text op disks te staan. Daarnaast heeft hij geheugenlekkage op Zooms productieserver gevonden, blootstelling van de Kerberos-authenticatieserver en meer slordigheden met impact op de security.

Ahmed trekt de kritische conclusie dat schaduw-IT kenmerkend is voor publieke diensten bij Zoom. Sommige instances van servers die de videovergaderfirma gebruikt, krijgen geen regelmatige updates en blijken bovendien publiekelijk toegankelijk te zijn. Zo vond hij een development instance die al minstens 10 maanden geen updates heeft gekregen. Mogelijk is die ontwikkelomgeving ook naar de productieomgeving van een Zoom-klant gepushed, stelt de hacker voorzichtig.

Shadow-IT
“Dit betekent dat als er een kwetsbaarheid was die is gepatcht in productie, dat die nog te misbruiken valt in deze shadow IT instances.” Hij concludeert dit aan de hand van buildnummers en buildtijd die Zoom hanteert. Een screenshot dat de security-onderzoeker op 14 juli dit jaar heeft gemaakt, toont een build van 10 september vorig jaar.

Hierbij heeft hij ook een verkeerd geconfigureerde en daardoor toegankelijk Nginx-statuspagina gevonden. Op basis daarvan kon de hacker deduceren dat deze instance niet veel gebruikt wordt en dus geschikt is voor voorzichtige verkenning om een hackaanval op te zetten. Potentieel heeft zo’n relatief verwaarloosde ontwikkel-instance minder logging triggers in vergelijking met de Zoom.us web-app die in productie is, legt Ahmed uit in zijn blogpost.

Suc6 Raymond Lenz TotalPrevent

0 antwoorden

Plaats een Reactie

Meepraten?
Draag gerust bij!

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *