Autor: Khanh Nguyen Yen, Software II, OPSWAT
Hintergrund
Es gibt viele Organisationen und Einzelpersonen, die ihre eigenen Verschlüsselungssysteme entwickeln. Die Verwendung eines benutzerdefinierten Schemas hat zwar Sicherheitsvorteile, aber die Nachteile werden noch größer, wenn die Software, die das Schema verwendet, eine große Anzahl von Benutzern hat. Zoom ist ein Unternehmen, das sein eigenes proprietäres Verschlüsselungsschema verwendet, und es wurde eine schwerwiegende Sicherheitslücke im Zusammenhang mit dieser Verschlüsselung entdeckt. Infolge dieser Schwachstelle sind die Informationen von mehr als 500.000 Zoom Meeting-Benutzern nach außen gelangt.
Wegen der COVID-19-Pandemie haben die Regierungen Schutzmaßnahmen angeordnet, was dazu geführt hat, dass die Mitarbeiter von zu Hause aus arbeiten. Um effektiv arbeiten zu können, müssen sie sicher verbunden bleiben und kommunizieren. Zoom ist ein Tool, das viele Menschen auf der ganzen Welt nutzen, um dies zu erreichen. Viele Unternehmen nutzen es sogar als ihr Hauptkommunikationsmedium, was diese Schwachstelle zu einem ernsten Problem macht.
Warum ist das passiert?
In einem Zoom-Blogpost vom April erklärt Zoom, dass sie derzeit keine tatsächliche Ende-zu-Ende-Verschlüsselung implementieren, obwohl sie ihre Verschlüsselung Ende-zu-Ende nennen. Sie haben den Begriff verwendet, um eine Art von Transportverschlüsselung zwischen Geräten und Zoom-Servern zu beschreiben. Infolgedessen hat Zoom theoretisch die Möglichkeit, Zoom Meeting-Informationen zu entschlüsseln und zu überwachen, sobald sich diese Informationen auf dem Server befinden.
Wo liegt die Schwachstelle?
Die Video- und Audiodaten von Zoom-Meetings werden über einen Zoom-Server (Zoms Cloud) an alle Teilnehmer verteilt. Wenn Kunden sich dafür entscheiden, Meetings vor Ort zu veranstalten, generiert Zoom den AES-Schlüssel, mit dem das Meeting verschlüsselt wird, und hat Zugriff darauf. Meeting-Gastgeber können ihre Meetings so einrichten, dass sie virtuelle Warteräume haben, die den Meeting-Teilnehmern den direkten Zugang zu einem Zoom-Meeting verwehren. Stattdessen müssen die Teilnehmer warten, bis sie vom Gastgeber des Meetings eingelassen werden. (Laut den Forschern von The Citizen Lab). Allerdings hat jede Person im Warteraum Zugriff auf den Entschlüsselungsschlüssel des Meetings. Ein böswilliger Akteur muss also nicht tatsächlich am Meeting teilnehmen, um auf den Video- und Audiostream des Meetings zuzugreifen.
Es wurde ein weiteres kritisches Sicherheitsproblem mit der Verschlüsselung von Zoom gemeldet. Laut den zuvor veröffentlichten Dokumenten hat die Zoom-Anwendung den AES-256-Algorithmus zur Verschlüsselung von Meeting-Inhalten verwendet. Die Zoom-Anwendung verwendet jedoch stattdessen einen einzigen 128-Bit-Schlüssel.
Schließlich verschlüsselt und entschlüsselt Zoom alle Audio- und Videodaten während Meetings mit AES im ECB-Modus. Die ECB-Verschlüsselung wird nicht empfohlen, da sie semantisch unsicher ist, d. h., dass die einfache Beobachtung von ECB-verschlüsseltem Chiffretext Informationen über den Klartext preisgeben kann. Der ECB-Modus wird in demselben Block (8 oder 16 Byte) der Klartextverschlüsselung verwendet, der immer denselben Block an Chiffretext ergibt. Dadurch kann ein Angreifer feststellen, dass ECB-verschlüsselte Nachrichten identisch sind oder sich wiederholende Daten, ein gemeinsames Präfix oder andere gemeinsame Teilstrings enthalten.
Für weitere Details gibt es eine schöne grafische Demonstration dieser Schwäche auf Wikipedia
Diese Verschlüsselungsschwachstelle wurde als CVE-2020-11500 gemeldet.
Weitere Informationen zu dieser Sicherheitslücke finden Sie unter https://metadefender.opswat.com/vulnerabilities/CVE-2020-11500
Mögliche Auswirkungen
Für Angreifer wird es einfacher sein, Inhalte von Sitzungen zu entschlüsseln und die Privatsphäre der Nutzer zu verletzen.
Wie erkennt OPSWAT die Zoom-Schwachstelle?
OPSWAT Technologien können alle Endgeräte im Unternehmen überwachen, die diese Schwachstelle aufweisen.
MetaDefender Access kann Geräte erkennen, die die Zoom-Schwachstelle CVE-2020-11500 aufweisen, und Anweisungen zur Abhilfe bereitstellen.
Sanierung
Es wird dringend empfohlen, dass Sie Zoom immer auf dem neuesten Stand halten.
Referenzen
https://blog.zoom.us/wordpress/2020/04/01/facts-around-zoom-encryption-for-meetings-webinars/
https://zoom.us/docs/doc/Zoom-Security-White-Paper.pdf
https://en.wikipedia.org/wiki/Block_cipher_mode_of_operation#Electronic_Codebook_(ECB)
https://citizenlab.ca/2020/04/zooms-waiting-room-vulnerability/
