Zoom Screen-Sharing Glitch “kurzzeitig” Lecks sensibler Daten

Cyber Security News

Ein Fehler in der Screen-Sharing-Funktion von Zoom zeigt Teile der Bildschirme von Moderatoren, die sie nicht freigeben wollten – so könnten E-Mails oder Passwörter durchsickern.

Eine Sicherheitslücke in der aktuellen Version von Zoom könnte versehentlich die Daten von Benutzern an andere Teilnehmer eines Meetings weitergeben. Die Daten werden jedoch nur kurz durchgesickert, wodurch ein potenzieller Angriff schwierig auszuführen ist.

Die Schwachstelle (CVE-2021-28133) rührt von einem Fehler in der Bildschirmfreigabefunktion der Videokonferenzplattform Zoom her. Diese Funktion ermöglicht es Benutzern, den Inhalt ihres Bildschirms mit anderen Teilnehmern einer Zoom-Konferenz zu teilen. Sie haben die Möglichkeit, ihren gesamten Bildschirm, ein oder mehrere Anwendungsfenster oder nur einen ausgewählten Bereich ihres Bildschirms freizugeben.

Wenn ein Zoom-Moderator jedoch “unter bestimmten Bedingungen” die Freigabe eines Anwendungsfensters wählt, überträgt die Funktion zur Bildschirmfreigabe kurzzeitig den Inhalt anderer Anwendungsfenster an die Konferenzteilnehmer, so der in Deutschland ansässige SySS-Sicherheitsberater Michael Strametz, der den Fehler entdeckt hat, und der Forscher Matthias Deeg in einem Offenlegungshinweis vom Donnerstag (der über Google übersetzt wurde).

[Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2019/02/19151457/subscribe2.jpg]

“Die Auswirkung in realen Situationen wäre die unbeabsichtigte Weitergabe vertraulicher Daten an nicht autorisierte Personen”, so Deeg gegenüber Threatpost.

Die aktuelle Version des Zoom-Clients, 5.5.4 (13142.0301), für Windows ist laut Deeg gegenüber Threatpost noch anfällig für das Problem.

Das Problem tritt auf “zuverlässig reproduzierbare Weise” auf, wenn ein Benutzer ein geteiltes Anwendungsfenster (z. B. Präsentationsfolien in einem Webbrowser) freigibt, während er andere Anwendungen (z. B. einen Mail-Client) im Hintergrund öffnet, und zwar im vermeintlich nicht freigegebenen Modus. Die Forscher fanden heraus, dass der Inhalt des explizit nicht geteilten Anwendungsfensters für einen “kurzen Moment” von Meeting-Teilnehmern wahrgenommen werden kann.

Auch wenn dies nur kurz der Fall ist, warnen die Forscher, dass andere Meeting-Teilnehmer, die das Zoom-Meeting aufzeichnen (entweder über die in Zoom integrierte Aufzeichnungsfunktion oder über eine Bildschirmaufzeichnungssoftware wie SimpleScreenRecorder), anschließend zur Aufzeichnung zurückkehren und alle potenziell sensiblen Daten, die durch diese Übertragung durchsickern, vollständig einsehen können.

Da es schwierig wäre, diesen Fehler absichtlich auszunutzen (ein Angreifer müsste Teilnehmer eines Meetings sein, bei dem Daten versehentlich durch den Fehler durchsickern), ist der Fehler auf der CVSS-Skala nur mittelschwer (5,7 von 10).

Allerdings “hängt der Schweregrad dieses Problems wirklich von den unbeabsichtigt freigegebenen Daten ab”, so Deeg gegenüber Threatpost. “In einigen Fällen spielt es keine Rolle, in anderen Fällen kann es mehr Probleme verursachen.”

Wenn zum Beispiel ein Konferenz- oder Webinar-Teilnehmer den Teilnehmern über Zoom Folien präsentiert und dann im Hintergrund einen Passwort-Manager oder eine E-Mail-Anwendung öffnet, können andere Zoom-Teilnehmer auf diese Informationen zugreifen.

Ein Proof-of-Concept-Video des Angriffs finden Sie unten:

Die Schwachstelle wurde Zoom am 2. Dezember gemeldet – zum Zeitpunkt der öffentlichen Bekanntgabe des Fehlers, am Donnerstag, sagten die Forscher jedoch, dass ihnen trotz mehrerer Anfragen nach Status-Updates von Zoom “kein Fix bekannt” sei.

“Leider blieben unsere Anfragen zu Status-Updates am 21. Januar und 1. Februar 2021 unbeantwortet”, so Deeg gegenüber Threatpost. “Ich hoffe, dass Zoom dieses Problem bald behebt, und mein einziger Rat für alle Zoom-Benutzer … ist, bei der Verwendung der Bildschirmfreigabefunktion vorsichtig zu sein und [to follow a] strikte ‘clean virtual desktop’-Richtlinie während Zoom-Meetings zu beachten.”

Threatpost hat Zoom um einen weiteren Kommentar bezüglich des Fehlers gebeten und um zu erfahren, ob dieser in der kommenden Version, die am 22. März veröffentlicht werden soll, behoben wird.

Da die Coronavirus-Pandemie im vergangenen Jahr immer mehr Unternehmen dazu veranlasst hat, die Kurve abzuflachen”, indem sie auf Remote-Konferenzen umgestiegen sind – und damit auf verschiedene Webkonferenz-Plattformen – hatte Zoom mit verschiedenen Sicherheits- und Datenschutzproblemen zu kämpfen, darunter Angreifer, die Online-Meetings in sogenannten Zoom-Bombing-Angriffen gekapert haben. Auch andere Sicherheitsprobleme sind im vergangenen Jahr in der Zoom-Plattform ans Licht gekommen – zum Beispiel eines, das es Angreifern ermöglicht hätte, private Meeting-Passcodes zu knacken und Videokonferenzen mitzuschnüffeln. Allerdings hat Zoom auch wichtige Schritte unternommen, um seine Konferenzplattform zu sichern, einschließlich der Verstärkung der Ende-zu-Ende-Verschlüsselung und der Implementierung anderer Sicherheitsmaßnahmen.

Registrieren Sie sich für diese LIVE-Veranstaltung: 0-Day Disclosures: Good, Bad & Ugly: Am 24. März um 14:00 Uhr ET geht Threatpost darauf ein, wie Schwachstellen-Enthüllungen ein Risiko für Unternehmen darstellen können. Diskutiert werden sollen Microsoft 0-Days, die in Exchange-Servern gefunden wurden. Schließen Sie sich den 0-Day-Jägern von Intel Corp. und erfahrenen Bug-Bounty-Forschern an, die die 0-Day-Ökonomie entwirren und auspacken werden, was für alle Unternehmen auf dem Spiel steht, wenn es um den Offenlegungsprozess geht. Registrieren Sie sich JETZT für dieses LIVE-Webinar am Mi., 24. März.

Einige Teile dieses Artikels stammen aus:
threatpost.com