Videokonferenz-App Hacker konnten Windows-Accounts durch Zoom-Schwachstelle kapern

Die Videokonferenz-App Zoom wird durch die Coronakrise immer populärer. Doch eine Sicherheitslücke ermöglichte Hackern den Zugriff auf sensible Daten und E-Mails. Gefährdet waren besonders Firmenrechner.
Zoom: Kabinettsbesprechung mit Boris Johnson

Zoom: Kabinettsbesprechung mit Boris Johnson

Foto: PIPPA FOWLES/ AFP

Boris Johnson nutzt es für seine Kabinettsbesprechung, Harvard unterrichtet seine Studenten darüber und ein Paar in Edinburgh heiratet sogar damit. Die Rede ist von der App Zoom, über die sich Videokonferenzen auch mit 100 Teilnehmern gleichzeitig organisieren lassen. Millionenfach ist die App im Zuge der Coronkrise heruntergeladen worden, bis zu 200 Millionen Menschen nutzen sie derzeit an einem Tag. In den letzten Wochen stand Zoom kontinuierlich auf Spitzenplätzen in den Download-Charts von Apple und Google.  

In den vergangenen Tagen allerdings häuften sich Berichte über Sicherheitslücken und Schwachstellen in der App. Am Mittwoch sah sich daher auch Unternehmenschef Eric Yuan genötigt, sich für die Sicherheitsprobleme zu entschuldigen. Alle Entwickler von Zoom würden sich ab sofort nicht mehr um neue Funktionen der App kümmern, sondern die nächsten drei Monate nur an Sicherheits- und Datenschutzthemen arbeiten, schreibt Yuan in einem Blogpost . Man wolle die Sicherheit der App außerdem von unabhängigen Experten überprüfen lassen.

Dass dieser Schritt dringend nötig ist, zeigt unter anderem eine Schwachstelle, die der IT-Sicherheitsexperte Matthew Hickey untersucht hat. Seit Mittwochabend ist das Problem behoben, doch zuvor konnten Angreifer wie Hickey den Benutzernamen und das Windows-Passwort eines Zoom-Nutzers abfangen und unbemerkt an einen Server übertragen, den sie selbst kontrollierten. "Der Angriff war ziemlich einfach auszuführen", sagt Hickey, der für das IT-Sicherheitsunternehmen Hacker House arbeitet. Er habe auf Twitter Informationen über die Angriffsmöglichkeit gesehen und zum Nachbau nur 30 Minuten gebraucht. Die Attacke ließe sich auch im größeren Stil automatisiert ausführen, sagt Hickey. Bereits in der Vorwoche hatte ein IT-Sicherheitsforscher die Idee zu dem Angriff in einem Tweet veröffentlicht .

Empfohlener externer Inhalt
An dieser Stelle finden Sie einen externen Inhalt von Twitter, der den Artikel ergänzt und von der Redaktion empfohlen wird. Sie können ihn sich mit einem Klick anzeigen lassen und wieder ausblenden.
Externer Inhalt

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Problematisch war die Schwachstelle deshalb, weil das abgefangene Passwort in einigen Fällen auch als Passwort für Online-Accounts von Microsoft wie Outlook oder Office365 dient. So hätten Angreifer mit den abgefangenen Daten auch E-Mails lesen oder in der Cloud gespeicherte Dokumente und Bilder einsehen können. Hickey konnte das Passwort allerdings nur als sogenannten Hashwert abfangen, einer nicht im Klartext lesbaren Form. Mit einem speziellen Programm hätten sich schwache Passwörter aber in wenigen Tagen entziffern lassen, sagt Hickey. Nur lange und komplizierte Passwörter könne er so nicht knacken. 

Der Angriff funktionierte in drei Schritten. Als erstes mussten Hacker eine gerade laufende Zoom-Konferenz finden. Hickey nutzte einfach eine Konferenz mit Freunden, doch auch in Zoom-Unterhaltungen von Fremden können Angreifer leicht eindringen. "Zoom-Bombing" heißt der Trick, bei dem Angreifer einfach die ID eines Meetings erraten. Mehr als diese neun- bis elfstellige Ziffernfolge ist oft nicht nötig, um sich als Fremder in ein Meeting einzuwählen. Die Organisatoren können zwar ein Zugangspasswort verlangen, aber eine Pflichteinstellung ist das nicht. Trolle nutzten Zoom-Bombing bereits, um in einer Zoom-Konferenz einer Synagogen-Gemeinde antisemitische Beleidigungen zu posten, berichtete die BBC . In einem anderen Fall spielte ein Angreifer den Teilnehmern eines öffentlichen Zoom-Calls Porno-Aufnahmen vor. Auch das FBI warnt vor den Gefahren von Zoom-Bombing. 

Im zweiten Schritt postete Hickey eine normale Textnachricht in den Chat von Zoom. Doch weil er die Nachricht mit zwei Backslashes ( \\ ) beginnen ließ, verwandelte sich der Text automatisch in einen anklickbaren Link. IT-Sicherheitsexperten wissen, wie leicht sich normale Nutzer dazu bringen lassen, gefährliche, aber auf den ersten Blick harmlos aussehende Links anzuklicken. Für einen Angriff auf ein Unternehmensnetzwerk hätte der Link beispielsweise so aussehen können: "\\firmennetzwerk-server.org\Gehaltsuebersicht.xlsx". Hätte ein Opfer auf so einen falschen Link geklickt, hätte Windows den Benutzernamen und das gehashte Passwort des Windows-Accounts an die Adresse eines Servers geschickt, die ein Hacker möglichst unauffällig in seinem Link versteckt hat. Im Beispiel wäre das der Teil "firmennetzwerk-server.org". In einem dritten Schritt musste Hickey nur noch aus dem Hash, welchen er erhalten hat, ein Passwort errechnen und probieren, ob das Passwort auch für Online-Dienste des Benutzers funktioniert. 

Nicht alle Zoom-Nutzer sind gleichermaßen gefährdet

Hickey betont, dass der Angriff für private Nutzer weniger gefährlich gewesen sei. Gefährdet seien insbesondere Mitarbeiter an Arbeitsrechnern, den sie von ihrem Arbeitgeber zur Verfügung gestellt bekommen haben. Denn Unternehmen können ihre Arbeitsrechner so konfigurieren, dass das Passwort des Betriebssystems auch für Online-Dienste gilt. Er habe bereits Fälle gesehen, in denen die Passwörter und Benutzernamen gleich gewesen seien, sagt Hickey. Als IT-Sicherheitsexperte hilft er regelmäßig Unternehmen, ihre IT-Sicherheit zu verbessern. "Normalerweise würde ich sagen, das ist eine Schwachstelle mit mittlerem Risiko", sagt Hickey. "Aber angesichts der aktuellen Situation, in der immer mehr Nutzer mit Firmenrechner von zuhause arbeiten, ist sie gefährlich." Ob und wie oft die inzwischen geschlossene Lücke tatsächlich für Angriffe ausgenutzt wurde, ist nicht bekannt.

Apple-Nutzer waren davon nicht betroffen. Windows-Nutzer können sich vor solchen Angriffen schützen, in dem sie ein langes und möglichst komplexes Passwort nutzen. Außerdem sollten sie nicht auf Links in Zoom-Chats klicken, wenn sie den Absender nicht kennen. Wenn sie unsicher sind, fragen sie besser einmal bei ihren Kollegen nach.

Die Windows-Schwachstelle, die Hickey für seinen Angriff ausgenutzt hat, ist als "UNC Injection Flaw" unter Sicherheitsforschern prinzipiell schon lange bekannt. Problematisch war im aktuellen Fall jedoch, dass sie sich über Zoom sehr leicht ausnutzen ließ.

Am Mittwoch machte der ehemalige NSA-Hacker Patrick Wardle zwei weitere Schwachstellen in Zoom für macOS  öffentlich. Die eine erlaubte es Angreifern, die bereits in den Mac des Opfers eingedrungen sind, ihre Zugriffsrechte auf die eines Administrators zu erweitern. Die andere ermöglichte es, heimlich auf die Kamera und das Mikrofon des Opfers zuzugreifen und es so zu bespitzeln. Auch diese Schwachstellen seien mittlerweile behoben, erklärte Zoom-Chef Yuan.