http://www.testnieuws.nl/2020/08/03/zoom-lek-kon-aanvallers-toegang-tot-beveiligde-videomeetings-geven-2/
Een beveiligingslek in Zoom maakte het mogelijk voor aanvallers om toegang tot met wachtwoord beveiligde videomeetings te krijgen. Een combinatie van een zescijferig wachtwoord en geen beveiliging tegen aanvallen waarbij alle mogelijke combinaties worden geprobeerd maakte het mogelijk om toegang te krijgen. De kwetsbaarheid in de Zoom-webclient werd ontdekt door webontwikkelaar Tom Anthony.
Anthony besloot de Zoom-webclient te onderzoeken nadat de Britse premier Boris Johnson een screenshot via Twitter had verstuurd waarin het Zoom meeting-ID van een overleg van de Britse ministerraad zichtbaar was. De Britse overheid gebruikte de betaalde versie van Zoom die standaard met een wachtwoord beveiligd is. Het wachtwoord bestond standaard uit zes cijfers, wat inhoudt dat er 1 miljoen mogelijke combinaties zijn.
Anthony ging ervan uit dat Zoom gebruikmaakte van "rate limiting" om het aantal pogingen het wachtwoord te raden te beperken. Hij ontdekte echter dat het wel degelijk mogelijk was om alle 1 miljoen mogelijk wachtwoorden met hoge snelheid te proberen. Wanneer de Zoom-webclient voor het eerst wordt geopend plaatst die een cookie met daarin een GUID, wat het anonieme gebruikers-ID lijkt te zijn, aldus Anthony.
Op de pagina van de Zoom-webclient kan vervolgens het meetingwachtwoord en de naam van de gebruiker worden opgegeven. Zoom bleek geen rate limiting toe te passen op het proberen van wachtwoorden. Een probleem bij het proberen van 1 miljoen mogelijke wachtwoorden is dat er twee http-verzoeken nodig zijn om een wachtwoord te proberen. Eén request voor het versturen van het wachtwoord en een request om te kijken of het wachtwoord juist is.
Een aanvaller zou daarbij op de server moeten wachten voordat het eerste request is afgerond voordat er een tweede request kan worden verstuurd. Iets wat aan de kant van de server werd bijgehouden, gekoppeld aan het GUID van de gebruiker. Anthony ontdekte dat het mogelijk was om een onbeperkt aantal GUID's op te vragen en vervolgens parallel voor meerdere GUID's de wachtwoorden te proberen. Door verschillende cloudservers te gebruiken zou het zo mogelijk zijn om binnen een paar minuten alle 1 miljoen mogelijke combinaties af te gaan.
De webontwikkelaar merkt op dat bij terugkerende bijeenkomsten steeds hetzelfde wachtwoord wordt gebruikt. Wanneer een aanvaller het wachtwoord van dergelijke meetings weet te achterhalen blijft hij toegang houden. Verder zag Anthony dat het mogelijk was om ook het wachtwoord van geplande meetings te kraken. Na te zijn ingelicht door Anthony haalde Zoom de webclient offline en voerde verschillende aanpassingen door, waaronder het gebruik van alfanumerieke wachtwoorden en het verplicht inloggen via een Zoom-account.
Een beveiligingslek in Zoom maakte het mogelijk voor aanvallers om toegang tot met wachtwoord beveiligde videomeetings te krijgen. Een combinatie van een zescijferig wachtwoord en geen beveiliging tegen aanvallen waarbij alle mogelijke combinaties worden geprobeerd maakte het mogelijk om toegang te krijgen. De kwetsbaarheid in de Zoom-webclient werd ontdekt door webontwikkelaar Tom Anthony.
Anthony besloot de Zoom-webclient te onderzoeken nadat de Britse premier Boris Johnson een screenshot via Twitter had verstuurd waarin het Zoom meeting-ID van een overleg van de Britse ministerraad zichtbaar was. De Britse overheid gebruikte de betaalde versie van Zoom die standaard met een wachtwoord beveiligd is. Het wachtwoord bestond standaard uit zes cijfers, wat inhoudt dat er 1 miljoen mogelijke combinaties zijn.
Anthony ging ervan uit dat Zoom gebruikmaakte van "rate limiting" om het aantal pogingen het wachtwoord te raden te beperken. Hij ontdekte echter dat het wel degelijk mogelijk was om alle 1 miljoen mogelijk wachtwoorden met hoge snelheid te proberen. Wanneer de Zoom-webclient voor het eerst wordt geopend plaatst die een cookie met daarin een GUID, wat het anonieme gebruikers-ID lijkt te zijn, aldus Anthony.
Op de pagina van de Zoom-webclient kan vervolgens het meetingwachtwoord en de naam van de gebruiker worden opgegeven. Zoom bleek geen rate limiting toe te passen op het proberen van wachtwoorden. Een probleem bij het proberen van 1 miljoen mogelijke wachtwoorden is dat er twee http-verzoeken nodig zijn om een wachtwoord te proberen. Eén request voor het versturen van het wachtwoord en een request om te kijken of het wachtwoord juist is.
Een aanvaller zou daarbij op de server moeten wachten voordat het eerste request is afgerond voordat er een tweede request kan worden verstuurd. Iets wat aan de kant van de server werd bijgehouden, gekoppeld aan het GUID van de gebruiker. Anthony ontdekte dat het mogelijk was om een onbeperkt aantal GUID's op te vragen en vervolgens parallel voor meerdere GUID's de wachtwoorden te proberen. Door verschillende cloudservers te gebruiken zou het zo mogelijk zijn om binnen een paar minuten alle 1 miljoen mogelijke combinaties af te gaan.
De webontwikkelaar merkt op dat bij terugkerende bijeenkomsten steeds hetzelfde wachtwoord wordt gebruikt. Wanneer een aanvaller het wachtwoord van dergelijke meetings weet te achterhalen blijft hij toegang houden. Verder zag Anthony dat het mogelijk was om ook het wachtwoord van geplande meetings te kraken. Na te zijn ingelicht door Anthony haalde Zoom de webclient offline en voerde verschillende aanpassingen door, waaronder het gebruik van alfanumerieke wachtwoorden en het verplicht inloggen via een Zoom-account.
