Videokonferenzsoftware Zoom: Präparierte Teilnahmelinks ermöglichten Phishing

21. Juli 202021. Juli 2020 Audrey Sely-Kämpfer Exploits, Phishing, Schwachstelle, Vanity-URLs, Videokonferenzen, Zoom

Sicherheitsforscher von Check Point haben eine Schwachstelle im Prinzip der sogenannten „Vanity URLS“ der Videokonferenz-Software Zoom entdeckt. Dabei handelt es sich um URLs nach dem Schema (mein-unternehmen).zoom.us, die Firmen für ihre Videokonferenzen bei Zoom beantragen können.

Die Schwachstelle hätte es Angreifern ermöglicht, Teilnahmelinks für eigene Zoom-Konferenzen unter Verwendung legitimer Vanity URLs umzubauen, um sie als firmenspezifische Events zu tarnen. Laut Check Point und Zoom wurde sie behoben. Zooms Antwort auf eine Anfrage von heise Security zum Wann und Wie steht noch aus. Die Beseitigung dürfte aber serverseitig und somit versionsunabhängig bzw. -übergreifend erfolgt sein. Über aktive Exploits ist nichts bekannt.

Quelle: Videokonferenzsoftware Zoom: Präparierte Teilnahmelinks ermöglichten Phishing | heise online