Mitigation für den Zoom Exploit vom 8. Juli 2019

Keine Kommentare

Am 8. Juli hat Jonathan Leitschuh einen Security Exploit für die beliebte und vor allem in Unternehmen oft genutzte Videochat-Software Zoom veröffentlicht (siehe 1).

TL;DR

Zoom startet einen Webserver auf localhost mit dem Webseiten interagieren können. Damit kann der Zoom-Client gestartet oder neu installiert werden und (unter macOS) ein Videoanruf mit aktivierter Webcam gestartet werden.

Der Exploit

Das Proof-of-Concept Repository auf GitHub enthält den Beispiel-Code, mit dem der laufende Webserver auf localhost:19421 angesprochen wird. Der Webserver befindet sich in ~/.zoomus – auch nachdem Zoom deinstalliert wurde.

Mitigation

Um den Webserver zu stoppen und ein erneutes Starten zu verhindern, gibt es mehrer Wege. Zusätzlich zu dem in (1) beschriebenen Weg, kann man mit dem Entzug aller Rechte auf die Binärdatei (chmod) verhindern, das der Webserver gestartet wird. Die folgenden Befehle müssen in einem Terminal abgesetzt werden.

Ist-Zustand testen

lsof -i :19421
Hier sollte ein Eintrag erscheinen, dass der Prozess ZoomOpener.App läuft.

Dateisystem-Berechtigungen von ZoomOpener.App entfernen

sudo chmod 000 ~/.zoomus/ZoomOpener.App

Den Rechner neu starten

sudo reboot

Überprüfung

lsof -i :19421

Wenn obige Befehle erfolgreich waren, taucht der Eintrag ZoomOpener.App hier nicht mehr auf.

Quellen und Referenzen

  1. https://medium.com/@jonathan.leitschuh/zoom-zero-day-4-million-webcams-maybe-an-rce-just-get-them-to-visit-your-website-ac75c83f4ef5
  2. https://github.com/JLLeitschuh/zoom_vulnerability_poc
Martin Riedel

Nach mehreren Jahren als Entwickler im JVM-Umfeld, hat sich Martins Fokus im Lauf der Zeit auf die Informationssicherheit verschoben. Wenn er nicht dabei ist, etwas kaputt zu machen, hilft er dabei es wieder aufzubauen und abzusichern.

Kommentieren

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.