Anzeige

Hacker

Die Corona-Pandemie zwingt Arbeitnehmer und Arbeitgeber dazu, neue Wege zu gehen, denn die physischen Begegnungen, seien sie im Büro oder auf Geschäftsreisen, müssen aktuell auf ein Minimum beschränkt werden. Eine Möglichkeit, um trotz dieser Einschränkungen den persönlichen Kontakt mit Kollegen und Kunden zu halten und sich auszutauschen, sind Videokonferenzen.

Entsprechende Tools erleben seit dem Frühjahr einen bislang ungekannten Boom. Doch das zieht auch Kriminelle an, die in den Online-Konferenzen bzw. dem dortigen Daten- und Informationsaustausch eine reiche Beute sehen.

Auch bei IBM musste man sich im Frühjahr schnell darauf einstellen, dass Meetings verstärkt online stattfinden. Um diesen Übergang möglichst sicher zu gestalten, nahm man das dafür genutzte System Cisco Webex einmal genauer unter die Lupe. Und tatsächlich wurden die Sicherheitsforscher fündig. Drei Sicherheitslücken förderten sie zu Tage, über die Angreifer sich quasi unbemerkt in Meetings einschmuggeln können, ohne dass der Organisator oder andere Teilnehmer eine Chance haben, sie zu entdecken. Die unerwünschten, unsichtbaren Teilnehmer, die sogenannten Geister, können nicht nur dem Gespräch per Audio und Video folgen, sondern auch die Daten der anderen Teilnehmer einsehen, geteilte Dokumente herunterladen und in Chats mitlesen. Eine andere Sicherheitslücke ermöglicht es ausgeschlossenen Teilnehmern, etwa nach dem Ende eines Meetings, im virtuellen Konferenzraum zu bleiben und weiter zu lauschen.

Die Sicherheitslücken betreffen sowohl Meetings mit einer explizit dieser Konferenz zugewiesenen URL als auch Webex Personal Rooms. Letztere sind wohl noch anfälliger für Angriffe, da sie meist eine leicht zu erratende URL haben, die aus dem Namen des Inhabers und dem des Unternehmens besteht. Ausgenutzt wird dabei der sogenannte Handshake-Prozess, den Webex einsetzt um die Verbindung zwischen den Teilnehmern herzustellen. Normalerweise tauschen die Systeme der Konferenzteilnehmer mit dem Server eine Join-Nachricht aus, in der Informationen wie Client-Anwendung, Meeting-ID, Details zum virtuellen Konferenzraum etc. enthalten sind. Dieser Vorgang wird als Handshake bezeichnet. Um nun als Geist an einem Meeting teilzunehmen, werden die Join-Nachrichten von Cyberkriminellen manipuliert. So können diese einer Videokonferenz beitreten, ohne von den anderen Teilnehmern wahrgenommen zu werden.

Potenzielle Angreifer haben verschiedene Möglichkeiten, um die Sicherheitslücken auszunutzen. So können sie sich beispielsweise auch unbefugt in ein Meeting einklinken. Lediglich das gewohnte akustische Signal, das einen neuen Teilnehmer ankündigt, könnte ihre Anwesenheit verraten. Allerdings wird dieses Signal gerade bei großen Konferenzen gerne ausgeschaltet oder der Organisator achtet schlicht nicht darauf, wie viele Pieptöne erklungen sind. Die zweite Möglichkeit ist, nach einem Meeting, bei dem die Anwesenheit des Geistes vielleicht sogar erwünscht war, einfach im entsprechenden Konferenzraum zu bleiben. Da es nicht unüblich ist, mehrere Meetings mit unterschiedlichen Teilnehmern im gleichen virtuellen Raum abzuhalten, besteht so die Chance, vertrauliche Informationen zu erhalten und unbemerkt Folgegesprächen zu lauschen. Diese Möglichkeit besteht sowohl wenn der Organisator die Verbindung des Teilnehmers getrennt hat als auch wenn der Teilnehmer selbst die Verbindung beendet. Kombiniert mit Social Engineering besteht bei dieser Taktik zudem die Gefahr, dass sich Hacker Zugang verschaffen, indem sie sich unter dem Namen eines legitimen Teilnehmers einwählen und dann die sichtbare Verbindung beenden. Dem Organisator wird das zwar auffallen, jedoch wird er es vermutlich auf Probleme mit der Internetverbindung schieben, die ja im Homeoffice durchaus vorkommen können.

Ein weiteres großes Problem dieser Sicherheitslücken ist die Tatsache, dass Angreifer nicht nur den Inhalt der Meetings ausspähen können, sondern auch detaillierte Informationen zu den Teilnehmern erhalten. Insbesondere die IP-Adressen können problematisch werden, wenn Mitarbeiter sich aus dem Homeoffice zuschalten, denn darüber können Angreifer den Internetprovider, die Position und Daten über das Heimnetzwerk erhalten. Da nur die wenigsten Internetnutzer zu Hause die gleichen Sicherheitsstandards haben wie im Büro, lassen sich auf diese Art weitere Angriffe planen. Diese Daten konnten die Sicherheitsforscher sowohl bei den Teilnehmern von laufenden Meetings abrufen als auch bei solchen, die sich vor Beginn einer Konferenz in der Lobby befanden.

Doch wie lassen sich solche Angriffe verhindern? Im Fall von Webex ist das relativ einfach zu beantworten: Indem man das entsprechende Update von Cisco einspielt, mit dem die Sicherheitslücken geschlossen werden.

Jedoch sind auch andere Videokonferenzsysteme angreifbar und selbst wenn diese drei Schwachstellen nun geschlossen sind, könnten Hacker jederzeit neue Möglichkeiten finden, Webex zu attackieren. Daher sollten Unternehmen klare Regeln für die Nutzung festlegen. Dazu gehört im ersten Schritt eine Evaluation, wie vertraulich ein Meeting zu behandeln ist, beziehungsweise wie sensibel die Informationen sind, die besprochen werden sollen. Dementsprechend können dann Sicherheitsmaßnahmen ergriffen werden. Es ist ratsam immer unique Meeting-IDs zu benutzen, anstatt einfach einen herkömmlichen virtuellen Konferenzraum zu wählen. Auf diese Art verhindert man, dass die Meeting-ID erraten oder hergeleitet werden kann. Ein Passwort für den Konferenzraum schützt zusätzlich, ist aber nicht immer möglich. Organisatoren sollten außerdem die Benachrichtigungen aktivieren und auf akustische Signale achten. Nach Beginn des Meetings ist es zudem sinnvoll, den Raum virtuell abzusperren. So müssen verspätete Teilnehmer „anklopfen“, bevor sie eintreten können. Ist das Gespräch beendet, sollte auch das Meeting geschlossen werden, bevor neue Teilnehmer für den folgenden Call eingelassen werden. So können Geister nicht einfach „sitzenbleiben“ und weiter zuhören. Und zu guter Letzt: Wenn dem Organisator irgendetwas verdächtig vorkommt, sollte er das Meeting lieber umgehend beenden und dann komplett neu starten.

www.8com.de
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Home Office Security
Nov 26, 2020

Arbeiten im Lockdown – Digitalisierter, aber auch sicherer?

55 Prozent der deutschen Arbeitnehmer nutzen den privaten PC, um von zu Hause aus zu…
Threats
Okt 15, 2020

Die Pandemie hat die Threat-Landschaft verändert

Die Bedrohungslandschaft wurde schon immer von Ereignissen und Veränderungen in der…
Videokonferenz
Okt 01, 2020

Saftey first – Videokonferenzen dürfen nicht zur Schwachstelle werden

Unternehmen auf der ganzen Welt sind seit einigen Wochen auf Remote-Work- und…

Weitere Artikel

Zero Trust

Bedrohungstrends 2021: Ist Zero Trust die Antwort?

Die COVID-19-Pandemie ist weltweit ein Treiber für den digitalen Wandel – und für Cyber-Attacken. Während Unternehmen alles daran setzten, sichere Remote-Arbeits-Infrastrukturen für ihre Mitarbeiter zu schaffen, waren Cyber-Kriminelle vor dem Hintergrund der…
Facebook Hacked

Datendiebstahl bei Facebook: Vorsicht vor Smishing!

Sicherlich haben Sie in den vergangenen Tagen den Datendiebstahl von mehr als 500 Mio. Datensätzen bei Facebook verfolgt. Dazu ein Statement – sowohl zum Trend Smishing als auch ein paar Tipps – unseres Kunden Proofpoint, um die eigene Gefährdung vor diesen…
Update

Microsoft Exchange Server-Hack: Nach dem Angriff ist vor dem Angriff

Derzeit werden tausende Microsoft Exchange Server mit Updates gepatcht. Die Sicherheitslücken, die in den vergangenen Wochen zuhauf beispielsweise von der Hackergruppe Hafnium ausgenutzt wurden, sollten damit behoben sein – für die betroffenen Unternehmen…
Backdoor

Lazarus-Gruppe greift Logistikunternehmen über unbekannte Backdoor an

Ob digital oder analog: Ausfälle sind für die globale Frachtlogistik besonders heikel. Das hat erst jüngst die Blockierung des Suezkanals durch das Containerschiff "Ever Given" gezeigt. ESET-Forscher haben nun eine bisher unbekannte Backdoor entdeckt, die bei…
Malware

Das neue Malware-Normal: Ransomware und Pandemie bestimmten Cyber-Gefahrenlage

Corona hat die globale Cyber-Kriminalität angesteckt, während sich andere Trends vergangener Jahre weiter verschärft haben. Das zeigt die Analyse der Cyberbedrohungslandschaft 2020 durch die Experten von Bitdefender. Neben dem weiter enormen Anstieg…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!