Rekommendationer kring användning av videokonferenstjänsten Zoom
Under Corona-pandemin tillämpar flera verksamheter en policy om att arbeta hemma. En tjänst för videokonferenser som den senaste tiden blivit populär är Zoom [1], och med anledning av detta har CERT-SE ett antal rekommenderade säkerhetsåtgärder. FBI skriver i ett säkerhetsmeddelande att man uppmärksammat flera fall av intrång på videokonferenser (VTC hijacking). FBI rekommenderar bland annat [2]:- Undvik att göra konferenserna offentliga. Det kan ske på två sätt. Genom att sätta lösenord till mötet, eller att låta användare vänta ”utanför” för att bli insläppta.
- Posta inte länkar till Zoom-möten offentligt, exempelvis på sociala medier. Skicka istället länken direkt till mottagaren.
- Begränsa möjligheten att dela skärm, så att endast värden kan göra detta, ”Host only”.
- Håll Zoom uppdaterad till den senaste programvaran
The Intercept skriver även att Zoom i sin marknadsföring påstått att man använder sig av end-to-end-kryptering, och att det inte stämmer [3]. Zoom skriver i sin blogg att sättet de använt sig av begreppet end-to-end-kryptering, skiljer sig mot hur det används i allmänhet [4]. Organisationer som i videokonferenser diskuterar eller delar innehåll som kräver end-to-end-kryptering bör vara medvetna om detta. CERT-SE har också fått indikationer på att Zoom är sårbart för UNC path injections. Genom en attack kan en angripare komma åt användarens hashade NTLM-lösenord, knäcka hashen och läsa ut lösenordet i klartext [5]. Detta kan undvikas genom att förhindra klienten från att ansluta till SMB över internet, något som kan ske exempelvis genom att i brandväggen spärra port TCP/139 och TCP/445 för inkommande och utgående trafik.
Uppdatering: Zoom har nu släppt patchar till alla versioner där uppmärksammade sårbarheter ska vara lagade [6].
[3] https://theintercept.com/2020/03/31/zoom-meeting-encryption/
[4] https://blog.zoom.us/wordpress/2020/04/01/facts-around-zoom-encryption-for-meetings-webinars/