Rekommendationer kring användning av videokonferenstjänsten Zoom

Under Corona-pandemin tillämpar flera verksamheter en policy om att arbeta hemma. En tjänst för videokonferenser som den senaste tiden blivit populär är Zoom [1], och med anledning av detta har CERT-SE ett antal rekommenderade säkerhetsåtgärder. FBI skriver i ett säkerhetsmeddelande att man uppmärksammat flera fall av intrång på videokonferenser (VTC hijacking). FBI rekommenderar bland annat [2]:- Undvik att göra konferenserna offentliga. Det kan ske på två sätt. Genom att sätta lösenord till mötet, eller att låta användare vänta ”utanför” för att bli insläppta.

The Intercept skriver även att Zoom i sin marknadsföring påstått att man använder sig av end-to-end-kryptering, och att det inte stämmer [3]. Zoom skriver i sin blogg att sättet de använt sig av begreppet end-to-end-kryptering, skiljer sig mot hur det används i allmänhet [4]. Organisationer som i videokonferenser diskuterar eller delar innehåll som kräver end-to-end-kryptering bör vara medvetna om detta. CERT-SE har också fått indikationer på att Zoom är sårbart för UNC path injections. Genom en attack kan en angripare komma åt användarens hashade NTLM-lösenord, knäcka hashen och läsa ut lösenordet i klartext [5]. Detta kan undvikas genom att förhindra klienten från att ansluta till SMB över internet, något som kan ske exempelvis genom att i brandväggen spärra port TCP/139 och TCP/445 för inkommande och utgående trafik.

Uppdatering: Zoom har nu släppt patchar till alla versioner där uppmärksammade sårbarheter ska vara lagade [6].

[1] https://www.reuters.com/article/us-health-coronavirus-zoom/zoom-takes-lead-over-microsoft-teams-as-coronavirus-keeps-americans-at-home-idUSKBN21I3AB

[2] https://www.fbi.gov/contact-us/field-offices/boston/news/press-releases/fbi-warns-of-teleconferencing-and-online-classroom-hijacking-during-covid-19-pandemic

[3] https://theintercept.com/2020/03/31/zoom-meeting-encryption/

[4] https://blog.zoom.us/wordpress/2020/04/01/facts-around-zoom-encryption-for-meetings-webinars/

[5] https://www.bleepingcomputer.com/news/security/zoom-lets-attackers-steal-windows-credentials-run-programs-via-unc-links/

[6] https://zoom.us/download