Twee kwetsbaarheden in Zoom maakten het mogelijk voor aanvallers om zonder interactie van gebruikers hun gesprekken af te luisteren en hun systemen en Zoom-servers te compromitteren. De beveiligingslekken, die door Google-onderzoeker Natalie Silvanovich waren gevonden, zijn inmiddels door Zoom verholpen. De onderzoeker hekelt met name het feit dat Zoom geen gebruikmaakte van ASLR, een belangrijke maatregel om misbruik van kwetsbaarheden tegen te gaan.

Silvanovich deed in het verleden onder andere onderzoek naar WhatsApp, FaceTime en Signal, waarbij ze specifiek zocht naar "zero-click" kwetsbaarheden. Misbruik van deze beveiligingslekken vereist geen enkele interactie van gebruikers. Ze had Zoom echter weinig aandacht gegeven omdat ze dacht dat een aanval tegen de Zoom-client meerdere clicks van een gebruiker vereiste.

Vorig jaar lieten Nederlandse onderzoekers zien dat Zoom-gebruikers wel op afstand zijn aan te vallen, waarop Silvanovich haar onderzoek startte. Ze ontdekte twee kwetsbaarheden, namelijk een buffer overflow in de Zoom-clients en Zoom MMR-server en een informatielek in de Zoom MMR-server.

Zoom biedt organisaties de optie om binnen hun eigen omgeving een "Zoom On-Premise deployments" te gebruiken. Deze oplossing bestaat uit een Meeting Connector Controller en de Multimedia Router (MMR). Volgens Silvanovich waren de kwetsbaarheden in Zooms MMR-server met name zorgelijk, aangezien deze server de audio- en videocontent verwerkt. Misbruik van de beveiligingslekken maakt het mogelijk voor een aanvaller om Zoom-meetings te monitoren die geen gebruik van end-to-end-encryptie maken.

Misbruik van de beveiligingslekken zijn alleen mogelijk wanneer de aanvaller en het doelwit een "Zoom Contact" van elkaar zijn. In dit geval hebben beide gebruikers elkaar via de Zoom-gebruikersinterface als contact toegevoegd. Vervolgens is het mogelijk om deze persoon via Zoom een bericht te sturen of te bellen, net als met iemands telefoonnummer kan.

Silvanovich merkt op dat het niet lastig is voor een aanvaller om een doelwit zover te krijgen dat die aan een Zoom-gesprek meedoet, zelfs als dat meerdere clicks zou vereisen. "En de manier waarop sommige organisaties Zoom gebruiken biedt interessante aanvalsscenario's", stelt de onderzoeker verder.

Ontbreken van ASLR

Ze hekelt ook het ontbreken van ASLR in het Zoom MMR-proces, aangezien dit het risico vergroot dat een aanvaller het kan compromitteren. Address space layout randomization (ASLR) is een techniek die het lastiger maakt voor een aanvaller om te voorspellen waar in het geheugen bepaalde delen van programma's worden geladen. Dit moet het uitbuiten van kwetsbaarheden in applicaties veel lastiger maken.

"ASLR is de belangrijkste mitigatie in het voorkomen van exploitatie van geheugencorruptie en de meeste andere mitigaties maken er op enig niveau gebruik van om effectief te zijn. Voor de meeste software is er geen goede reden dat het staat uitgeschakeld", aldus Silvanovich. "Alle software geschreven voor platformen die ASLR ondersteunen zouden het, en andere basale geheugenmitigaties, ingeschakeld moeten hebben." Zoom heeft recentelijk besloten ASLR in te schakelen.

Verder merkt de Google-onderzoeker op dat het Zoom Security Team haar heeft geholpen met toegang tot de serversoftware en het configureren ervan, maar dat het onduidelijk is of deze support ook voor andere onderzoekers beschikbaar is. "Zoom en andere bedrijven die closed-source securitygevoelige software produceren zouden moeten overwegen hoe ze hun software toegankelijk voor beveiligingsonderzoekers maken", besluit Silvanovich haar analyse.