Bei der populären Videokonferenzplattform Zoom bestand eine Zero-Day-Lücke durch die es Angreifern möglich gewesen wäre, Befehle auf betroffenen Computern remote auszuführen. Der Fehler betraf Geräte, die mit Windows 7 und Versionen liefen.
Am Freitag, den 10. Juli 2020, hat das Unternehmen das Problem mit einem Patch behoben. In den Versionshinweisen der Version 5.1.3 (28656.0709) heißt es, dass der Patch „ein Sicherheitsproblem behebt, das Benutzer unter Windows 7 und älter betrifft“.
Die technischen Details in Bezug auf die Sicherheitslücke, sind nur spärlich. Es wurde ihr keine CVE-Kennung (Common Vulnerabilities and Exposures) zugewiesen. Die erste Beschreibung findet sich im 0patch Blog von ACROS Security:
„Die Sicherheitslücke ermöglicht es einem Angreifer aus der Ferne, beliebigen Code auf dem Computer auszuführen, auf dem der Zoom Client für Windows (jede derzeit unterstützte Version) installiert ist. Dafür ist es nur nötig, dass der Nutzer eine typische Aktion ausführt, wie z. B. das Öffnen einer Dokumentdatei. Während des Angriffs wird dem Benutzer keine Sicherheitswarnung angezeigt “, sagte ACROS.
Das Unternehmen stellte jedoch auch fest, dass die Lücke "nur unter Windows 7 und älteren Windows-Systemen ausnutzbar ist" sowie "wahrscheinlich auch unter Windows Server 2008 R2 und früher ausnutzbar" war. Windows 10 und Windows 8 sind im Gegensatz dazu nicht betroffen.
VERWANDTER ARTIKEL: Bye‑Bye Windows 7: Jetzt Betriebssystem upgraden
ACROS wurde von einem Sicherheitsforscher, der anonym bleiben wollte, auf den Fehler hingewiesen. Anschließend analysierte das Unternehmen die Behauptungen und probierte eine Reihe von Angriffsszenarien aus, bevor es seine Ergebnisse zusammen mit einem Proof of Concept und Empfehlungen für die Behebung des Problems an Zoom weiterleitete. Der Artikel enthält keinen Hinweis darauf, dass die Lücke schon von Angreifern ausgenutzt wurde.
ACROS hat am vergangenen Donnerstag außerdem einen Micropatch veröffentlicht, der die Sicherheitsanfälligkeit im Code beseitigt, kurz bevor Zoom das Problem mit einem eigenen Patch behob. Der Micropatch wurde kostenlos zur Verfügung gestellt. Das Unternehmen veröffentlichte außerdem eine Demo, wie leicht ein Benutzer die Anfälligkeit auslösen kann.
Aufgrund der COVID-19-Pandemie sind viele Unternehmen auf Home-Office-Modelle umgestiegen und Menschen zur sozialen Distanzierung gezwungen. Damit erhalten Videokonferenz-Plattformen sowohl für die Arbeit als auch für das soziales Zusammenleben große Bedeutung.
Im Fall von Zoom trug das unerwartete Rampenlicht von Zoom auch dazu bei, dass eine Reihe von Sicherheits- und Datenschutzlücken aufgedeckt wurden, die die Plattform betrafen. CEO Eric S. Yuan sah sich letztlich dazu veranlasst, ein 90-Tage-Feature-Freeze anzukündigen, um sich auf die drängenden Probleme zu konzentrieren. Diese selbstauferlegte Pause für ist Anfang dieses Monats abgelaufen.
In jedem Fall sollten Zoom-Benutzer den neuesten Patch anwenden, um das Risiko zu verringern, dass böswillige Akteure ihre Geräte angreifen. Weitere Tipps zur Verbesserung Ihrer Sicherheit bei Videokonferenzen gibt Tony Anscombe, Chief Evangelist für Sicherheit bei ESET, in zwei kürzlich erschienenen Artikeln zur Sicherheit bei Videokonferenzen und den korrekten Einstellungen für ihren Zoom-Client.