Zwei niederländische Sicherheitsforscher konnten eine Kette von Schwachstellen im Zoom-Desktop-Client finden. Angreifer könnten damit Kontrolle über den Computer eines Benutzers zu übernehmen. Damit könnte Remote-Code ausgeführt werden ohne Benutzerinteraktion. Windows und Mac sind gleichermaßen betroffen.

Die zwei niederländer Daan Keuper and Thijs Alkemade von der IT-Firma Computest gewannen mit ihrer Entdeckung einen ersten Platz im Pwn2Own Wettbewerb. Die Zero Day Initiative ist Organisator dieses Wettbewerbs für White-Hat-Cybersicherheits-Experten. In dem Wettbewerb messen sich die White-Hat-Hacker in der Entdeckung von Fehlern in Software und Diensten. Der Wettbewerb ist in verschiedene Kategorien unterteilt wie Webbrowser, Unternehmenskommunikation, Virtualisierungssoftware, Server sowie lokale Rechteeskalation. Keuper und Alkemade gewannen dafür einen Preis von 200.000 US-Dollar. Bei dem Wettbewerb wird die Funktionsweise des Exploits aus Gründen der Sicherheit nicht bekannt gegeben.

Angriffskette durch drei Schwachstellen

Im Wettbewerb mussten die beiden Forscher demonstrieren, wie die Angriffskette funktioniert. Das Exploit löst einen Remotecode auf einem Zielrechner aus, ohne dass ein Benutzer in die Aktion eingebunden ist. Allerdings genügt dafür, dass der Angriff von einem bestehenden und akzeptieren externen Zoom-Kontakt ausgeht. Es kann auch jemand sein, der Teil des gleichen Organisationskontos des Angriffsziels ist, ergänzte ein Sprecher von Zoom.

Der Angriff funktioniert nur für Zoom Windows- und Mac-Versionen. Bislang wurde er noch nicht auf iOS oder Android getestet. Laut den Forschern ist die Browser-Version der Videokonferenzsoftware nicht von der Schwachstelle betroffen. Daher wird empfohlen, in der Zwischenzeit die Zoom Browser-Version zu verwenden. Sitzungsinterne Zoom-Meetings und Zoom-Video-Webinare sind allerdings nicht davon betroffen. Bei der Animation des Angriffs wurde gezeigt, wie Angreifer das Taschenrechner-Tool eines Rechners öffnen und nutzen konnten.

Patch Zoom Schwachstelle noch nicht verfügbar

Für alle bekanntgewordenen Schwachstellen besteht eine 90-tägige Frist für die Veröffentlichungen eines Patches. Die spezifischen technischen Details der Schwachstelle werden bis dahin unter Verschluss gehalten.

Artikel in zdnet.com, 09.04.2021: Critical Zoom vulnerability triggers remote code execution without user input
Artikel in tomsguide.com, 08.04.2021: Huge Zoom flaw lets hackers completely take over your Mac or PC [updated]

Beitragsbild: Public Domain, Creative Commons CC0 von Chris Montgomery, unsplash.com.