Nieuwe bugs in Zoom op Windows en macOS

Zoom is in sneltempo razendpopulair geworden, nu mensen door de corona-maatregelen aan huis gebonden zijn en videobellen om in contact te blijven met collega’s, familie en vrienden. Die populariteit zorgt ook voor een verhoogde aandacht van beveiligingsonderzoekers voor de veiligheid van Zooms software.

Deze week ontdekten beveiligingsonderzoekers afzonderlijk bugs in zowel de Windows- als de macOS-client van Zoom, die respectievelijk wachtwoorden kunnen prijsgeven of een aanvaller de controle over je Mac laten overnemen.

Windows

De chatfunctie in de Zoom-client zet niet alleen url’s om in klikbare hyperlinks, maar doet hetzelfde met UNC-links (Universal Naming Convention), die in Windows worden gebruikt om toegang te krijgen tot netwerkbronnen.

Wanneer iemand op zo’n UNC-link klikt, probeert Windows verbinding te maken met de netwerklocatie via het SMB-protocol voor het delen van bestanden. Standaard verzendt Windows vervolgens de aanmeldingsnaam en NT Lan Manager (NTLM)-referentiehash van de gebruiker.

Hoewel de hash niet in plaintext wordt gedeeld, kan een slecht wachtwoord snel genoeg worden gekraakt. Beveiligingsonderzoekers hebben reeds aangetoond hoe de bug kan worden gebruikt om Windows-credentials te ontfutselen en een SMB Relay-aanval uit te voeren. De UNC-link kan in principe ook worden gebruikt om een exe-bestand uit te voeren op het getroffen systeem, al geeft Windows dan wel een waarschuwing.

Zoom is zich bewust van het probleem en werkt aan een oplossing. Ondertussen kunnen mitigerende maatregelen worden getroffen door Microsofts instructies voor het beperken van uitgaand NTLM-verkeer naar externe servers te volgen.

macOS

Bijna gelijktijdig met de ontdekking van de Windows-bugs vond Patrick Wardle, voormalig NSA-hacker, ook twee kwetsbaarheden in de macOS-client van Zoom. De bugs vereisen dat de aanvaller reeds toegang heeft tot de kwetsbare computer en kunnen worden misbruikt om persistente toegang te krijgen en malware of spyware te installeren.

Eén bug wordt gefaciliteerd door het feit dat Zoom geen tussenkomst van de gebruiker vereist om de Zoom-app te installeren op macOS. Wardle ontdekte dat een lokale aanvaller met beperkte gebruikersrechten de installer met schadelijke code kan injecteren om root-toegang tot het systeem te krijgen.

De tweede bug maakt misbruik van de manier waarop Zoom omgaat met de toestemming om de microfoon en webcam op een Mac te gebruiken. Wardle stelde vast dat hij eigen code in Zoom kan injecteren, die vervolgens dezelfde toegang krijgt tot de microfoon en webcam, zodat zonder medeweten van de gebruiker video- en audio-opnames kunnen worden gemaakt.

Zoom wenste tegenover TechCrunch niet te reageren op de ontdekking van Wardle. Die adviseert gebruikers om in afwachting van een oplossing “te stoppen met Zoom te gebruiken als je om je security en privacy geeft”.

Slechte beurt

Met zijn recent verworven populariteit heeft Zoom zich in de kijker van beveiligingsexperts gezet en maakt daarbij geen al te beste beurt. Los van bovenstaande bugs zijn er de voorbije dagen en weken ook verschillende andere privacyproblemen met de software opgedoken. We maakten een overzicht in dit artikel over de risico’s van het gebruik van samenwerkingstools als Zoom, Slack en Google Drive.