+43 699 / 18199463
office@itexperst.at
Nicht eingeladene Teilnehmer können bei Webex mithören

Nicht eingeladene Teilnehmer können bei Webex mithören

Cisco Webex ist seit dem Beginn der COVID-19-Pandemie eine der meistgenutzten Apps für geschäftliche Meetings. Webex Meetings verzeichneten seither einen Anstieg um 45 Prozent. Täglich werden bis zu 4 Millionen Meetings mit etwa 324 Millionen Nutzern veranstaltet. IBM, das sehr viele Webex Meetings abhält, untersuchte die Sicherheit der App. Ihre Analyse brachte drei kritische Schwachstellen zutage.

In Zusammenarbeit mit Cisco testeten IBM-Forscher die Sicherheit von Videokonferenz-Tools, die es im Unternehmen einsetzt. Dabei stießen sie auf drei Schwachstellen in der Webex-Videokonferenz-App von Cisco. Diese Schwachstellen könnten ausgenutzt werden, um an Meetings als sogenannter „Ghost User“ teilzunehmen. Ein solcher User wäre unsichtbar wie ein Geist und könnte ohne Wissen der anderen Meeting-Teilnehmer oder des Gastgebers mithören. Ein potenzieller Angreifer könnte eine der gefundenen Schwachstellen ausnutzen, um auf Namen, E-Mail- und IP-Adressen der Meeting-Teilnehmer zuzugreifen. Er könnte auch eine andere Schwachstelle ausnutzen, um weiter in einem Meeting zu bleiben, selbst wenn der Gastgeber die Teilnahme an einem Meeting zuvor abgelehnt hatte.

Cisco Webex Ghost-User hört mit

Laut IBM sind Ghost-User solche Teilnehmer, die an einer Besprechung völlig unerkannt teilnehmen, niemand kann sie in der Teilnehmerliste sehen und sie wurden nicht zu der Besprechung eingeladen. Ghost-User können alle anderen Teilnehmer hören und sogar selbst mitreden. Sie können auch gemeinsam genutzte Medien und Bildschirme mitansehen. Wie ist so etwas nur möglich?

Die Sicherheitsforscher von IBM ging der Frage auf den Grund und analysierten die Webex-Software. Bei dem Vorgang, eine ordnungsgemäße Verbindung herzustellen, tauschen eine Anwendung und ein Server während des anfänglichen Handshake-Prozesses verschiedene Nachrichten aus. Die Forscher fanden eine Möglichkeit, die Informationen während des anfänglichen Handshake-Prozesses so zu manipulieren, dass sie auf der Teilnehmerliste unsichtbar bleiben – sie wurden zum Ghost-User.

Die Forscher konzentrierten sich auf das Kommunikationsmuster zwischen der Anwendungs- und der Serverseite. Sie positionierten sich als „Man-in the-middle“ zwischen der Kommunikation und der Überwachung des Datenverkehrs und des verwendeten Protokolls. Das kann im Prinzip auf jede Art von Kommunikationsmuster angewendet werden. So nebenbei konnten die Forscher feststellen, dass ein Angreifer auch das allgemeine Durcheinander am Anfang von Webex Meetings ausnutzen könnte. Meistens achten Besprechungsteilnehmer und Gastgeber nicht genau auf die Anzahl der Eingangsmeldung, wenn Teilnehmer dem Meeting beitreten. Dann könnte sich ein Angreifer unbemerkt und unsichtbar dazugesellen. Manchmal werden, besonders bei großen Teilnehmerzahlen, die vielen zusätzlichen Eingangstöne als Netzwerkprobleme abgetan. Ghost-User bleiben durch die allgemeine Ablenkung unerkannt. Der Umstand, im Home Office zu sitzen, bringt in manchen Fällen zusätzliche Ablenkung.

Ein Angreifer könnte nicht nur unbemerkt an Meetings teilnehmen. Außerdem könnte auch den Aufruf des Gastgebers missachten, sich auszuweisen. Manchmal finden nacheinander mehrere Webex Meetings statt und Teilnehmer klinken sich aus oder ein in einen Meetingraum. Ein Ghost-User könnte so tun, als würde er aus einem Anruf aussteigen, aber für nachfolgende Meeting verbunden bleiben.

Bei der dritten Schwachstelle könnte ein Ghost-User direkt von der Lobby des Meetings aus Zugang zu Informationen auf der Meetingplattform erhalten. Dafür müsste er nicht einmal am Meeting teilnehmen! Er könnte zum Beispiel die vollständigen Namen, E-Mail- und IP-Adressen der Teilnehmer abrufen. Für Hacker sind solche Daten sehr wertvoll. Sie können für eine Vielzahl von Angriffen oder auch nur für das Sammeln von Infos über hochkarätige Teilnehmer verwendet werden.

Was Webex-Nutzer gegen einen Lauschangriff tun können

Grundsätzlich sollten, laut IBM, Webex-Teilnehmer die Vertraulichkeit eines Meetings feststellen. Sie haben die Wahl zwischen persönlichen Besprechungsräumen und neue Besprechungs-ID für jede Webex. Sie können Passwort und Sitzungs-IDs verwenden für weiteren Schutz. Ghost-User können sie so erst gar nicht in die Webex Lobby gelangen. Der Gastgeber muss jeden einzelnen Teilnehmer dann manuell akzeptieren.

Die Schwachstellen waren auf den gängigen Betriebssystemen für die Webex Meeting und Webex Room Kit App ausnutzbar. Obwohl Cisco alle drei Schwachstellen schnell gepatcht hat, kann davon ausgegangen werden, dass Angreifer ständig nach neuen Fehlern suchen. Vermutlich gibt es weitere, noch unerkannte Schwachstellen. Sowohl IBM und Cisco arbeiten Hand in Hand proaktiv daran, sie vor potenziellen Hackern zu finden. Die Forscher empfehlen allen Gastgebern stets auf verdächtige externe Teilnehmer oder auf seltsame Telefonnummern zu achten.

Gleichwohl kann gesagt werden, dass die Schwachstellen nur dann ausgenutzt werden können, wenn Angreifer die einmaligen, speziellen Sitzungs-URLs der geplanten Webex-Sitzungen kennen. Laut den IBM-Forschern können persönliche Meetingräume vermutlich leichter ausgenutzt werden. Diese setzen sich oft einfach aus den Namen des Gastgebers und des Unternehmens zusammen. Sie seien laut den Forschern leicht zu erraten.

Cisco veröffentlichte Patches

Technisch, so die Forscher, sei es „nicht allzu schwierig“ gewesen, diesen Angriff durchzuführen. Die Tools dazu werden oft von Penetrationstestern eingesetzt. Cisco konnte, auch dank ihrer Partner bei IBM, für alle drei Schwachstellen am 18. November die Patches CVE-2020-3441, CVE-2020-3471 und CVE-2020-3419 veröffentlichen.

Cisco Webex Meetings sind Cloud-basiert. Die Sicherheitslücken wurden daher von Cisco cloud-seitig behoben und Nutzer mussten nicht tätig werden. Wichtig sei nur, die aktuellste Webex-App zu nutzen.

Artikel von zdnet.com, 18.11.2020: Cisco Webex bugs allow attackers to join meetings as ghost users
Artikel von arstechnica.com, 18.11.2020: Cisco rolls out fix for Webex flaws that let hackers eavesdrop on meeting
Artikel von darkreading.com, 18.11.2020: Cisco Webex Vulns Let ‚Ghost‘ Attendees Spy on Meetings
Artikel von tools.cisco.com, 18.11.2020: Cisco Webex Meetings and Cisco Webex Meetings Server Ghost Join Vulnerability

Beitragsbild: Public Domain, Creative Commons CC0, Andrea Piacquadio auf pexels.com

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen