Mitigation für den Zoom Exploit vom 8. Juli 2019

Zoom Exploit: Am 8. Juli hat Jonathan Leitschuh einen Security Exploit für die beliebte und vor allem in Unternehmen oft genutzte Videochat-Software Zoom veröffentlicht (siehe 1).

TL;DR

Zoom startet einen Webserver auf localhost, mit dem Webseiten interagieren können. Damit kann der Zoom-Client gestartet oder neu installiert werden und (unter macOS) ein Videoanruf mit aktivierter Webcam gestartet werden.

Der Exploit

Das Proof-of-Concept Repository auf GitHub enthält den Beispiel-Code, mit dem der laufende Webserver auf localhost:19421 angesprochen wird. Der Webserver befindet sich in ~/.zoomus – auch nachdem Zoom deinstalliert wurde.

Mitigation

Um den Webserver zu stoppen und ein erneutes Starten zu verhindern, gibt es mehrer Wege. Zusätzlich zu dem in (1) beschriebenen Weg, kann man mit dem Entzug aller Rechte auf die Binärdatei (chmod) verhindern, das der Webserver gestartet wird. Die folgenden Befehle müssen in einem Terminal abgesetzt werden.

Ist-Zustand testen

lsof -i :19421
Hier sollte ein Eintrag erscheinen, dass der Prozess ZoomOpener.App läuft.

Dateisystem-Berechtigungen von ZoomOpener.App entfernen

sudo chmod 000 ~/.zoomus/ZoomOpener.App

Den Rechner neu starten

sudo reboot

Überprüfung

lsof -i :19421

Wenn obige Befehle erfolgreich waren, taucht der Eintrag ZoomOpener.App hier nicht mehr auf.

Quellen und Referenzen zum Zoom Exploit

1. https://medium.com/@jonathan.leitschuh/zoom-zero-day-4-million-webcams-maybe-an-rce-just-get-them-to-visit-your-website-ac75c83f4ef5
2. https://github.com/JLLeitschuh/zoom_vulnerability_poc

Wer mehr zum Thema Information Security und das Absichern des gesamten IT-Lebenszyklus erfahren möchte, dem empfehlen wir einen Blick auf unsere Website und weitere Security-Posts im Blog .