Mitigation für den Zoom Exploit vom 8. Juli 2019

Keine Kommentare

Zoom Exploit: Am 8. Juli hat Jonathan Leitschuh einen Security Exploit für die beliebte und vor allem in Unternehmen oft genutzte Videochat-Software Zoom veröffentlicht (siehe 1).

TL;DR

Zoom startet einen Webserver auf localhost, mit dem Webseiten interagieren können. Damit kann der Zoom-Client gestartet oder neu installiert werden und (unter macOS) ein Videoanruf mit aktivierter Webcam gestartet werden.

Der Exploit

Das Proof-of-Concept Repository auf GitHub enthält den Beispiel-Code, mit dem der laufende Webserver auf localhost:19421 angesprochen wird. Der Webserver befindet sich in ~/.zoomus – auch nachdem Zoom deinstalliert wurde.

Mitigation

Um den Webserver zu stoppen und ein erneutes Starten zu verhindern, gibt es mehrer Wege. Zusätzlich zu dem in (1) beschriebenen Weg, kann man mit dem Entzug aller Rechte auf die Binärdatei (chmod) verhindern, das der Webserver gestartet wird. Die folgenden Befehle müssen in einem Terminal abgesetzt werden.

Ist-Zustand testen

lsof -i :19421
Hier sollte ein Eintrag erscheinen, dass der Prozess ZoomOpener.App läuft.

Dateisystem-Berechtigungen von ZoomOpener.App entfernen

sudo chmod 000 ~/.zoomus/ZoomOpener.App

Den Rechner neu starten

sudo reboot

Überprüfung

lsof -i :19421

Wenn obige Befehle erfolgreich waren, taucht der Eintrag ZoomOpener.App hier nicht mehr auf.

Quellen und Referenzen zum Zoom Exploit

  1. https://medium.com/@jonathan.leitschuh/zoom-zero-day-4-million-webcams-maybe-an-rce-just-get-them-to-visit-your-website-ac75c83f4ef5
  2. https://github.com/JLLeitschuh/zoom_vulnerability_poc

Wer mehr zum Thema Information Security und das Absichern des gesamten IT-Lebenszyklus erfahren möchte, dem empfehlen wir einen Blick auf unsere Website und weitere Security-Posts im Blog.

Martin Riedel

Nach mehreren Jahren als Entwickler im JVM-Umfeld, hat sich Martins Fokus im Lauf der Zeit auf die Informationssicherheit verschoben. Wenn er nicht dabei ist, etwas kaputt zu machen, hilft er dabei es wieder aufzubauen und abzusichern.

Über 1.000 Abonnenten sind up to date!

Die neuesten Tipps, Tricks, Tools und Technologien. Jede Woche direkt in deine Inbox.

Kostenfrei anmelden und immer auf dem neuesten Stand bleiben!
(Keine Sorge, du kannst dich jederzeit abmelden.)

* Hiermit willige ich in die Erhebung und Verarbeitung der vorstehenden Daten für das Empfangen des monatlichen Newsletters der codecentric AG per E-Mail ein. Ihre Einwilligung können Sie per E-Mail an datenschutz@codecentric.de, in der Informations-E-Mail selbst per Link oder an die im Impressum genannten Kontaktdaten jederzeit widerrufen. Von der Datenschutzerklärung der codecentric AG habe ich Kenntnis genommen und bestätige dies mit Absendung des Formulars.

Kommentieren

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.