Videokonferenzen: Teure Zero-Day-Lücken für Zoom auf dem Schwarzmarkt

Bis zu 500.000 US-Dollar kostet eine Sicherheitslücke für die Videokonferenz-Software Zoom. Das scheint überteuert, doch die Plattform ist ein attraktives Ziel.

Artikel veröffentlicht am , Anna Biselli
Allseits beliebt, bei Nutzern und Angreifern gleichermaßen
Allseits beliebt, bei Nutzern und Angreifern gleichermaßen (Bild: Gabriel Benois/unsplash.com)

Universitäten beschaffen Zoom-Lizenzen, um Vorlesungen online zu halten, Freundeskreise nutzen den Videokonferenz-Dienst für virtuelle Stammtische und sogar EU-Ministertreffen fanden offenbar über die Plattform statt. Mit ihrer Beliebtheit bei Nutzern steigt auch die Attraktivität als Angriffsziel. Motherboard berichtet, dass noch unbekannte Sicherheitslücken für Zoom auf dem Schwarzmarkt für eine halbe Million US-Dollar angeboten werden.

Stellenmarkt
  1. DevOps Engineer (w/m/d)
    Statistisches Bundesamt, Wiesbaden
  2. Lead Architect ServiceNow (m/w/d)
    operational services GmbH & Co. KG, verschiedene Standorte
Detailsuche

Mehrere Quellen hätten Motherboard bestätigt, dass derzeit Zero-Day-Sicherheitslücken für Windows- und MacOS-Clients von Zoom auf dem Markt seien. Bei der Windows-Variante handele es sich um eine Remote-Code-Execution-Schwachstelle. Damit können Angreifer aus der Ferne Schadcode ausführen. Um den gesamten Rechner übernehmen zu können, müsse aber bei der angebotenen Zoom-Lücke noch ein weiterer Bug auf dem Zielsystem vorliegen.

Außerdem müsse sich der Angreifer in einem Call mit dem gewünschten Opfer befinden. Das macht die Lücke weniger attraktiv und lässt den Preis von einer halben Million US-Dollar sehr hoch erscheinen. Solche Beträge werden sonst etwa für fortgeschrittene iOS-Exploits verlangt, mit denen sich Geräte komplett übernehmen lassen. Eine der Quellen von Motherboard schätzte den tatsächlichen Wert des Zero-Days auf etwa die Hälfte des verlangten Preises ein.

Immer wieder gab es Berichte über Sicherheits- und Datenschutzprobleme bei Zoom. Mehrere Institutionen und Unternehmen, darunter SpaceX oder das Auswärtige Amt, untersagen mittlerweile die Nutzung der Anwendung für dienstliche Zwecke.

Golem Akademie
  1. Einführung in die Programmierung mit Rust: virtueller Fünf-Halbtage-Workshop
    21.–25. März 2022, Virtuell
  2. Scrum Product Owner: Vorbereitung auf den PSPO I (Scrum.org): virtueller Zwei-Tage-Workshop
    3.–4. März 2022, virtuell
Weitere IT-Trainings

Zoom kündigte Anfang April an, vorerst keine neuen Features implementieren und sich 90 Tage lang nur um Sicherheitsbelange kümmern zu wollen. Dazu gehört auch ein verbessertes Bug-Bounty-Programm, bei dem das Unternehmen für gefundene und gemeldete Sicherheitslücken Geld in Aussicht stellt. Im vergangenen Jahr wurde Zoom für seinen Umgang mit gemeldeten Sicherheitslücken kritisiert, das Unternehmen knüpfte die Zahlung einer Belohnung daran, über die gefundenen Lücken auch nach ihrer Schließung zu schweigen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Bundesservice Telekommunikation  
Die dubiose Adresse in Berlin-Treptow

Angeblich hat das Innenministerium nichts mit dem Bundesservice Telekommunikation zu tun. Doch beide teilen sich offenbar ein Bürogebäude.
Ein Bericht von Friedhelm Greis

Bundesservice Telekommunikation: Die dubiose Adresse in Berlin-Treptow
Artikel
  1. Reddit: IT-Arbeiter automatisiert seinen Job angeblich vollständig
    Reddit
    IT-Arbeiter automatisiert seinen Job angeblich vollständig

    Ein anonymer IT-Spezialist will unbemerkt seinen Job vollständig automatisiert haben. Dem Arbeitgeber sei dies seit einem Jahr nicht aufgefallen.

  2. E-Mail: Outlook-Suche in MacOS 12.1 ist noch immer kaputt
    E-Mail
    Outlook-Suche in MacOS 12.1 ist noch immer kaputt

    Seit Wochen ärgern sich Outlook-User darüber, dass die E-Mail-Suche unter MacOS 12.1 nicht mehr richtig funktioniert. Ein Fix ist in Arbeit.

  3. Spielebranche: Microsoft will Activision Blizzard übernehmen
    Spielebranche
    Microsoft will Activision Blizzard übernehmen

    Diablo und Call of Duty gehören bald zu Microsoft: Der Softwarekonzern will Activision Blizzard für rund 70 Milliarden US-Dollar kaufen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 wohl am 19.01. bestellbar • RTX 3080 12GB bei Mindfactory 1.699€ • Samsung Gaming-Monitore (u.a. G5 32" WQHD 144Hz Curved 299€) • MindStar (u.a. GTX 1660 6GB 499€) • Sony Fernseher & Kopfhörer • Samsung Galaxy A52 128GB 299€ • CyberGhost VPN 1,89€/Monat [Werbung]
    •  /