Szerző: Khanh Nguyen Yen, II. Software , OPSWAT
Háttér
Számos szervezet és magánszemély készít saját titkosítási sémákat. Bár az egyéni séma használatának vannak biztonsági előnyei, a hátrányok felnagyítódnak, ha a sémát használó szoftver nagyszámú felhasználóval rendelkezik. A Zoom egy olyan vállalat, amely saját, saját titkosítási sémát használ, és egy komoly biztonsági sebezhetőséget fedeztek fel ezzel a titkosítással kapcsolatban. A sebezhetőség következtében több mint 500 000 Zoom Meeting felhasználó adatai szivárogtak ki.
A COVID-19 világjárvány miatt a kormányok helyhez kötött óvóhelyi rendeleteket léptettek életbe, ami azt eredményezte, hogy az alkalmazottak otthonról dolgoztak. A hatékony munkavégzéshez biztonságos kapcsolatot és kommunikációt kell fenntartaniuk. A Zoom egy olyan eszköz, amelyet világszerte sokan használnak erre a célra. Valójában sok vállalat használja ezt a fő kommunikációs eszközként, így ez a sebezhetőség komoly problémát jelent.
Miért történt ez?
Egy áprilisi Zoom blogbejegyzésben a Zoom elmagyarázza, hogy jelenleg nem valósítanak meg tényleges végponttól-végpontig titkosítást, bár a titkosításukat végponttól-végpontig tartónak nevezik. A kifejezést az eszközök és a Zoom szeverek közötti szállítási titkosítás egy típusának leírására használták. Ennek eredményeként a Zoom elméletileg képes visszafejteni és nyomon követni a Zoom Meeting információkat, ha azok a szerveren vannak.
Hol van a sebezhetőség?
A Zoom megbeszélések video- és hangadatai a Zoom szerveren (a Zoom felhőjén) keresztül jutnak el minden résztvevőhöz. Ha az ügyfelek a helyben történő hosztolást választják, a Zoom generálja az AES kulcsot, amely titkosítja a megbeszélést, és hozzáférhet hozzá. A találkozók házigazdái beállíthatják, hogy a találkozóik virtuális várótermekkel rendelkezzenek, ami megtagadja a találkozó résztvevőitől a közvetlen hozzáférést a Zoom találkozóhoz. Ehelyett a résztvevőknek várniuk kell, hogy a találkozó házigazdája beengedje őket. ( A The Citizen Lab kutatói szerint). A váróteremben tartózkodó minden egyes személynek azonban hozzáférése van az értekezlet dekódolási kulcsához. Így egy rosszindulatú szereplőnek nem kell ténylegesen csatlakoznia a megbeszéléshez ahhoz, hogy hozzáférjen a megbeszélés videó- és hangfolyamához.
Egy másik kritikus biztonsági problémát is jelentettek a Zoom titkosításával kapcsolatban. A korábban kiadott dokumentumok szerint a Zoom alkalmazás AES-256 algoritmust használt az értekezletek tartalmának titkosítására. A Zoom alkalmazás azonban valójában egyetlen 128 bites titkosítási kulcsot használ ehelyett.
Végül a Zoom az ülések során az összes hangot és videót titkosítja és visszafejti az AES használatával EKB módban. Az ECB titkosítás nem ajánlott, mert szemantikailag nem biztonságos, ami azt jelenti, hogy az ECB-vel titkosított rejtjelezett szöveg egyszerű megfigyelése kiszivárogtathatja az egyszerű szövegre vonatkozó információkat. Az ECB módot az egyszerű szöveg titkosításának mindig ugyanazt a blokkot (8 vagy 16 bájt) eredményező, mindig ugyanazt a rejtjelezett szövegblokkot tartalmazó titkosítási módban használják. Ez lehetővé teheti a támadó számára, hogy felismerje, hogy az EKB-val titkosított üzenetek azonosak, vagy ismétlődő adatokat tartalmaznak, közös előtaggal, egyéb közös részsorozatokkal rendelkeznek.
További részletekért, van egy szép grafikus demonstráció erről a gyengeségről a Wikipédián.
Ezt a titkosítási sebezhetőséget CVE-2020-11500 néven jelentették.
További információ a sebezhetőségről a https://metadefender.opswat.com/vulnerabilities/CVE-2020-11500 címen érhető el.
Lehetséges hatások
A támadók számára könnyebb lesz a találkozók tartalmának visszafejtése és a felhasználói adatvédelem megsértése.
Hogyan észleli az OPSWAT a Zoom sebezhetőséget?
OPSWAT technológiák a szervezet összes olyan végpontját figyelemmel kísérhetik, amelyek rendelkeznek ezzel a sebezhetőséggel.
MetaDefender Az Access képes észlelni a CVE-2020-11500 Zoom sebezhetőséggel rendelkező eszközöket, valamint javítási utasításokat nyújt.
Helyreállítás
Erősen ajánlott, hogy a Zoomot mindig naprakészen tartsa.
Hivatkozások
https://blog.zoom.us/wordpress/2020/04/01/facts-around-zoom-encryption-for-meetings-webinars/
https://zoom.us/docs/doc/Zoom-Security-White-Paper.pdf
https://en.wikipedia.org/wiki/Block_cipher_mode_of_operation#Electronic_Codebook_(ECB)
https://citizenlab.ca/2020/04/zooms-waiting-room-vulnerability/
