Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

CERT-SE firar årets cybersäkerhetsmånad med en utmaning/challenge som vänder sig till alla med it-säkerhetsintresse.

Publicerad

Rekommendationer kring användning av videokonferenstjänsten Zoom

Under Corona-pandemin tillämpar flera verksamheter en policy om att arbeta hemma. En tjänst för videokonferenser som den senaste tiden blivit populär är Zoom [1], och med anledning av detta har CERT-SE ett antal rekommenderade säkerhetsåtgärder.

FBI skriver i ett säkerhetsmeddelande att man uppmärksammat flera fall av intrång på videokonferenser (VTC hijacking). FBI rekommenderar bland annat [2]:

  • Undvik att göra konferenserna offentliga. Det kan ske på två sätt. Genom att sätta lösenord till mötet, eller att låta användare vänta ”utanför” för att bli insläppta.
  • Posta inte länkar till Zoom-möten offentligt, exempelvis på sociala medier. Skicka istället länken direkt till mottagaren.
  • Begränsa möjligheten att dela skärm, så att endast värden kan göra detta, ”Host only”.
  • Håll Zoom uppdaterad till den senaste programvaran

The Intercept skriver även att Zoom i sin marknadsföring påstått att man använder sig av end-to-end-kryptering, och att det inte stämmer [3]. Zoom skriver i sin blogg att sättet de använt sig av begreppet end-to-end-kryptering, skiljer sig mot hur det används i allmänhet [4]. Organisationer som i videokonferenser diskuterar eller delar innehåll som kräver end-to-end-kryptering bör vara medvetna om detta.

CERT-SE har också fått indikationer på att Zoom är sårbart för UNC path injections. Genom en attack kan en angripare komma åt användarens hashade NTLM-lösenord, knäcka hashen och läsa ut lösenordet i klartext [5]. Detta kan undvikas genom att förhindra klienten från att ansluta till SMB över internet, något som kan ske exempelvis genom att i brandväggen spärra port TCP/139 och TCP/445 för inkommande och utgående trafik.

Uppdatering: Zoom har nu släppt patchar till alla versioner där uppmärksammade sårbarheter ska vara lagade [6].

[1] https://www.reuters.com/article/us-health-coronavirus-zoom/zoom-takes-lead-over-microsoft-teams-as-coronavirus-keeps-americans-at-home-idUSKBN21I3AB
[2] https://www.fbi.gov/contact-us/field-offices/boston/news/press-releases/fbi-warns-of-teleconferencing-and-online-classroom-hijacking-during-covid-19-pandemic
[3] https://theintercept.com/2020/03/31/zoom-meeting-encryption/
[4] https://blog.zoom.us/wordpress/2020/04/01/facts-around-zoom-encryption-for-meetings-webinars/
[5] https://www.bleepingcomputer.com/news/security/zoom-lets-attackers-steal-windows-credentials-run-programs-via-unc-links/
[6] https://zoom.us/download