Kritische Sicherheits-Updates für Zoom

Googles Project Zero hat mehrere Sicherheitslücken in der Videokonferenz-Software Zoom entdeckt, welche es Angreifern ermöglichen, Zoom-Sitzungen zu belauschen und Schadcode auf die Geräte der anderen Teilnehmer zu schleusen. Eine Interaktion der anderen Benutzer ist nicht erforderlich, was den Angriff besonders brisant macht. Zum Glück sind Updates bereits verfügbar.

Das XMPP-Protokoll
Wie der Entdecker erklärt, gibt es nur eine Voraussetzung für einen erfolgreichen Angriff: Der angreifbare Zoom-Client muss XMPP-Nachrichten über den Zoom-Chat akzeptieren. Da der Fehler im XMPP-Protokoll steckt, wird die Schwachstelle auch als XMPP Stanza Smuggling bezeichnet. XMPP basiert auf XML-Strukturen und verschickt kurze XML-Schnipsel, die sogenannten Stanzas, über eine Stream-Verbindung. Die Clients haben hierbei die volle Kontrolle über den XML-Code, weshalb der Server die XML-Strukturen vor der Weiterleitung an andere Clients sorgfältig prüfen muss. Doch zwischen den Parsern auf der Server- und der Client-Seite gibt es riskante Inkonsistenzen.

Inkonsistenzen beim XML-Parsen
Auf diese Weise lassen sich XML-Strukturen erstellen, welche der Server als eine einzelne Stanza erkennt, während die anderen Clients zwei Stanzas verarbeiten. Gelingt es, eine versteckte Stanza zu schmuggeln, kann der Angreifer Nachrichten eines anderes Nutzers vortäuschen und sogar die Kontrollnachrichten des Servers nachahmen. Auf diese Weise lassen sich Download-Links im Chat des Opfers verändern oder der Verbindungsaufbau zu einem bösartigen Server erzwingen. Der Angreifer wird hierbei zum Man in the middle und kann den Chat nicht nur belauschen, sondern die Beiträge auch beliebig abändern. Wird vom Angreifer ein Update ausgelöst, lädt der Client beliebigen Code herunter und führt diesen aus.

Code-Ausführung durch erzwungenes Downdate
Tatsächlich hatte Zoom seine Software bereits Mitte 2019 gegen solch untergeschobene Updates abgesichert. Unter Windows prüft der Client (Zoom.exe), ob die heruntergeladene Installer.exe korrekt signiert ist und die Installer.exe überprüft den Hash des ebenfalls zum Update gehörenden .cab-Archivs. Was nicht geprüft wird, ist die Version dieser Dateien. Daher ist es möglich, die korrekt signierte Version 4.4, welche noch keine Überprüfung der .cab-Datei vornimmt, als Downdate aufzuspielen. Im Anschluss platziert der Angreifer seinen Schadcode in der .cab-Datei und kann diesen vom Installer ausführen lassen.

Sicherheitshinweis von Zoom
Zoom hat seine Software inzwischen gehärtet und entsprechende Updates auf die Version 5.10.0 veröffentlicht. Alle älteren Versionen der Videokonferenz-Software gelten als angreifbar. In einem Sicherheitshinweis führt Zoom vier Schwachstellen auf:

• Unzureichende Überprüfung von Hostnamen bei einem Server-Wechsel im Zoom Client für Meetings (CVE-2022-22787, mittel)
• Downgrade per Update-Paket im Zoom Client für Meetings für Windows (CVE-2022-22786, hoch)
• Unzureichende Beschränkung für Sitzungs-Cookies im Zoom Client für Meetings (CVE-2022-22785, mittel)
• Fehlerhaftes XMP-Parsen im Zoom Client für Meetings (CVE-2022-22784, hoch)