1. Blog
  2. Cyberdefense
  3. Gedetailleerde productanalyse – Zoom & Microsoft Teams

Gedetailleerde productanalyse – Zoom & Microsoft Teams

Dit is de tweede blogpost in een reeks van blogs waarin de veiligheid van verschillende videoconferentie producten voor bedrijven wordt onderzocht. In deze blogpost onderzoeken we Zoom en Microsoft Teams. De berichten die de komende dagen nog komen, gaan over Cisco Webex, Cisco Webex Teams, Google Meet, Bluejeans, Skype for Business, Tixeo, Jitsi Meet & BigBlueButton.

Om te lezen over onze aanpak van deze analyse, het target securitymodel dat we hebben toegepast te begrijpen of een side-by-side vergelijking van de beoordeelde producten te zien, kunt u onze eerste post uit deze serie bezoeken

Als je geïnteresseerd bent in de details van Zoom of Teams… lees dan verder.

Zoom

Zoom Video Communications is een bedrijf gevestigd in San Jose, Californië. Het bedrijf heeft sinds de oprichting in 2011 veel succes gehad, maar de verkoop is blijkbaar sterk gestegen met de COVID-19 epidemie. Zoom probeert zich te onderscheiden met een uitstekende servicekwaliteit en vertrouwt daarom uitsluitend op zijn SaaS-model. Zoom wordt gebruikt als een gezamenlijke audio- en video-oplossing voor gebruikers (met licentie) van vergaderruimtes, die het mogelijk maakt om zowel intern met collega’s als extern met partners te werken, met een innovatieve interactieve interface.

Sinds het begin van de COVID-19 pandemie en de implementatie van zelfisolatiemaatregelen over de hele wereld is het gebruik van Zoom exponentieel gegroeid (+535%, alleen al in de Verenigde Staten). Verschillende kwetsbaarheden en overtredingen die onder de aandacht zijn gebracht, hebben de veiligheid en het vertrouwen in het bedrijf ondermijnd. Hoewel deze zorgen gerechtvaardigd zijn, vinden wij dat er ook sprake is van een behoorlijke mate van overdrijving, wat een deel van onze motivatie was voor het schrijven van dit verslag.

Zoom 5.0 werd uitgebracht op 27 april 2020 en ondersteunt nu AES 256-bit GCM-encryptie. Dit wordt vanaf 30 mei 2020 over de hele linie afgedwongen, wat betekent dat alleen Zoom-klanten op versie 5.0 of later kunnen deelnemen aan vergaderingen.

In-meeting security controls zijn nu gegroepeerd onder het Security icoontje op de host meeting menu balk. Met deze controles kan de host de mogelijkheid voor deelnemers om deel te nemen aan een vergadering in- of uitschakelen: Scherm delen, chatten of zelf een naam te geven. Hosts kunnen ook “Een gebruiker melden” aan het Trust & Safety team van Zoom, de functie Wachtkamer inschakelen terwijl u al in een vergadering bent, de vergadering afsluiten zodra alle aanwezigen zich hebben aangesloten om ongewenste gasten te voorkomen en verwijder deelnemers zodat die persoon niet meer aan de vergadering kan deelnemen.

Er zijn nu extra veiligheidsmaatregelen ingevoerd, waaronder:

  • Wachtkamer standaard ingeschakeld.
  • Er zijn nu complexe, uit elf cijfers bestaande, unieke vergader-ID’s. ID’s zijn ook verwijderd uit het venster voor het delen van inhoud om te voorkomen dat er per ongeluk informatie over de vergadering wordt gedeeld.
  • Vergaderwachtwoorden zijn nu complexer en standaard ingeschakeld voor de meeste klanten. Voor geadministreerde accounts hebben accountbeheerders nu de mogelijkheid om de complexiteit van wachtwoorden te definiëren.
  • Met Meeting Registration & Meeting Authentication kunt u deelnemers laten registreren met hun e-mail, naam en andere gegevens of vooraf ingestelde profielen inschakelen om de toegang te beperken tot geauthenticeerde gebruikers of van specifieke e-maildomeinen.
  • Alle cloud-opnames zijn standaard gecodeerd met complexe wachtwoorden.
  • Met audiowatermerken kan de zoomfunctie helpen bij het identificeren van wie een vergadering heeft opgenomen als deze zonder toestemming wordt gedeeld.
  • Screen Share Watermarks legt het e-mailadres van een deelnemer over op gedeelde inhoud zelfs op een schermafdruk.
  • Hosts kunnen nu selecteren welke datacenterregio’s ze willen gebruiken bij het plannen van een vergadering en deelnemers kunnen zien met welk datacenter ze verbonden zijn.

Functies

De applicatie maakt het delen van schermen mogelijk om samen te werken en notities te delen, zichtbaar voor alle deelnemers. U kunt met één klik berichten sturen naar alle deelnemers. Ook het opnemen van conferenties op een apparaat of in de cloud is mogelijk.

Zoom integreert met “Personal Information Manager” (PIM) applicaties zoals Microsoft Outlook en draait op mobiele telefoons (iOS en Android) of op touchscreens om zoveel mogelijk integraties mogelijk te maken. Het maakt verbinding met talrijke audio- en video-endpoints. Om een vergadering aan te maken en te beheren is de installatie van een ‘stevige’ (uitvoerbare) werkstation of een mobiele applicatie onder Windows, Linux, Android of iOS noodzakelijk. Het installeren van het product onder GNU / Linux vonden we echter listig. Het bijwonen of plannen van een vergadering kan ook via een browser.

Zoom biedt ook integratie met verschillende conferentie-hardwareoplossingen voor camera’s, microfoons en schermen, via samenwerkingsverbanden met geselecteerde leveranciers.

Zoom gebruikt, in tegenstelling tot veel van de hier gepresenteerde oplossingen, eigen technologie en maakt geen gebruik van algemeen aanvaarde WebRTC-standaarden. WebRTC is een interface die het mogelijk maakt om in real-time online te communiceren. Deze standaard maakt het mogelijk dat browsers het delen van spraak of gegevens rechtstreeks vanuit de browser ondersteunen, waardoor specifieke software of uitbreidingen niet meer hoeven te worden ingesteld. Zoom biedt ook integratie met verschillende conferentie-hardwareoplossingen voor camera’s, microfoons en schermen, via samenwerkingsverbanden met geselecteerde leveranciers.

We vonden Zoom een zeer functioneel en gebruiksvriendelijk instrument, dat waarschijnlijk heeft bijgedragen aan de enorme opkomst ervan. Het is beschikbaar voor het merendeel van de platforms, inclusief een browser, en vereist geen specifieke wijzigingen aan bedrijfsplatforms of netwerken vanwege het operationele SaaS-model. De integratie met de belangrijkste e-mail- en agenda-applicaties, zoals Microsoft Outlook of Google Suite, verloopt soepel. Zoom biedt ook toegankelijkheidsfuncties voor alle deelnemers, bijvoorbeeld door ondertiteling mogelijk te maken via Rest-API’s. De breedschalige adoptie van Zoom maakt het ook een aantrekkelijke keuze voor bedrijven die in contact willen komen met anderen buiten hun eigen organisatie.

Results table

Encryptie
Gebruikt een geschikt encryptie-algoritme Volledig GCM met AES 256 sinds v5. Niet volledig bewezen in productie.
Gebruikt een sterke encryptiesleutel Volledig AES-GCM met 256-bits sleutels
De gegevens worden bij normaal gebruik gecodeerd tijdens het transport Volledig De encryptiesleutels voor elke vergadering worden echter gegenereerd door de servers van Zoom.
Gegevens blijven gecodeerd op de servers van de provider Gedeeltelijk Op voorwaarde dat de vergaderingen niet worden opgenomen.

Zie https://blog.zoom.us/wordpress/2020/04/01/facts-around-zoom-encryption-for-meetings-webinars/

Stem, video en tekst zijn allemaal gecodeerd Volledig Zie https://blog.zoom.us/wordpress/2020/04/01/facts-around-zoom-encryption-for-meetings-webinars/
Bestandsoverdrachten & sessie-opnamen zijn gecodeerd Volledig Zie https://zoom.us/docs/doc/Zoom-Security-White-Paper.pdf
De vendor kan de gegevens technisch gezien op geen enkel moment ontcijferen, zelfs niet onder druk van de regelgeving (volledige E2EE) Niet Verwacht in de toekomst met Keybase integratie.

Maar zie https://blog.zoom.us/wordpress/2020/05/07/zoom-acquires-keybase-and-announces-goal-of-developing-the-most-broadly-used-enterprise-end-to-end-encryption-offering/

Encryptie-implementatie heeft het onderzoek in de loop van de tijd doorstaan Niet V4 encryptie werd bekritiseerd, maar Zoom wijst erop dat er eigenlijk nooit een gerapporteerde compromis van hun encryptie is geweest. v5 encryptie is pas vanaf eind mei volledig actief. Zoom is van plan om op 22 mei een gedetailleerd concept cryptografisch ontwerp te publiceren.
Authenticatie
Beheerders kunnen het beveiligingsbeleid voor wachtwoorden definiëren Volledig Voor geadministreerde accounts hebben account admins nu de mogelijkheid om de complexiteit van het wachtwoord te definiëren.

Zie https://blog.zoom.us/wordpress/2020/04/22/zoom-hits-milestone-on-90-day-security-plan-releases-zoom-5-0/

Ondersteunt MFA als standaard Gedeeltelijk 2FA is niet van toepassing op de Zoom Desktop Client of Mobiele App.

Zie  https://support.zoom.us/hc/en-us/articles/360038247071-Setting-up-and-using-two-factor-authentication

Kan integreren met Active Directory of vergelijkbaar Volledig Zie https://support.zoom.us/hc/en-us/articles/201363023-SSO-with-Active-Directory
Kan integreren met SSO-oplossingen via SAML of vergelijkbaar. Volledig Zie https://support.zoom.us/hc/en-us/articles/201363023-SSO-with-Active-Directory
Kan integreren met SSO-oplossingen via SAML of vergelijkbaar. Volledig Zie https://support.zoom.us/hc/en-us/articles/115001078646-Role-Based-Access-Control
Maakt het mogelijk om wachtwoorden in te stellen voor vergaderingen Volledig Zie https://support.zoom.us/hc/en-us/articles/360033559832-Meeting-and-webinar-passwords
Maakt het mogelijk om het beveiligingsbeleid voor vergaderingen met wachtwoorden in te stellen Volledig Zie https://blog.zoom.us/wordpress/2020/04/14/enhanced-password-capabilities-for-zoom-meetings-webinars-cloud-recordings/
Jurisdictie
Adres hoofdkantoor USA San Jose, California, U.S.
De verkoper kan technisch gezien geen toegang krijgen tot de gegevens zonder toestemming van de klant Niet Verwachting in de toekomst met Keybase integratie.

Zie https://blog.zoom.us/wordpress/2020/05/07/zoom-acquires-keybase-and-announces-goal-of-developing-the-most-broadly-used-enterprise-end-to-end-encryption-offering/

Een volledige on-prem versie is beschikbaar voor gebruikers die de leverancier niet willen vertrouwen. Gedeeltelijk Gebruikers- en vergader metadata worden nog steeds beheerd in de Zoom public cloud.

Zie https://support.zoom.us/hc/en-us/articles/360034064852-Zoom-On-Premise-Deployment

Voor SaaS-modi kan de klant selecteren in welke landen of politieke regio’s gegevens worden opgeslagen of verwerkt Gedeeltelijk De functie bestaat, maar het aantal regio’s is beperkt, bijvoorbeeld zonder voorzieningen voor het Verenigd Koninkrijk, Rusland of enige Afrikaanse gebieden. Mogelijke ‘regio’s’ voor de levering zijn de VS, Canada, Europa (NL, GER) en China.
Voldoet aan de toepasselijke veiligheidscertificaten (bv. ISO27002 of BSI C5) Niet Zie https://zoom.us/docs/en-us/privacy-and-security.html
Voldoet aan de juiste privacynormen (bijv. FERPA of GDPR). Volledig
  • SOC 2 (Type II)
  • FedRAMP (gematigd)
  • TrusARC
  • GDPR, CCPA, COPPA, FERPA en HIPAA Conform (met BAA)
  • Privacy Shield Certified (EU/VS, Zwitsers/VS, Data Privacy Practices)Zie zoom.u/privacy.
Biedt een transparantierapport met informatie over verzoeken om gegevens, dossiers of inhoud. Niet In ontwikkeling.

Zie https://blog.zoom.us/wordpress/2020/04/01/a-message-to-our-users/

Security Management
Biedt andere vormen van toegangscontrole tot vergaderingen, bijvoorbeeld wachtkamers, lock-out, bannen, enz.. Volledig
Maakt het mogelijk om granulaire controle uit te oefenen op acties binnen de vergadering, zoals het delen van het scherm, bestandsoverdracht, afstandsbediening. Volledig
Biedt duidelijke centrale controle over alle beveiligingsinstellingen Volledig
Maakt monitoring en onderhoud van endpointsoftwareversies mogelijk Gedeeltelijk Kan een beheerder cliëntsoftwareversies bekijken, maar voor het afdwingen van een update zijn tools van derden nodig.
Biedt compliance-functies zoals eDiscovery & Legal Hold Niet Niet voor zover wij weten.
Auditing en rapportage Gedeeltelijk Zie https://support.zoom.us/hc/en-us/articles/201363213-Getting-Started-with-Reports

en https://support.zoom.us/hc/en-us/articles/360032748331-Operation-Logs

Additional content security controls like DLP, watermarking, etc. Gedeeltelijk
  • Enkelvoudig, zichtbaar pictogram voor de beveiligingsinstellingen
  • Deelnemers verwijderen
  • Meld een gebruiker
  • Screenshot watermerken
  • Audiowatermerken
  • Specifieke toepassingen delen
  • Informatiebarrières
Vulnerability Management
Percentage van NVD 2019 0.02
Percentage van NVD 2020 0.08
Vendor maakt bekend welke kwetsbaarheden zijn aangepakt Gedeeltelijk Zoom adresseert verschillende kwetsbaarheden op zijn site, maar we konden niet op alle kwetsbaarheden commentaar vinden.
Vendor voert een bug bounty uit Gedeeltelijk Een revamp van het programma is in uitvoering per 15 april

Zie https://blog.zoom.us/wordpress/2020/04/15/luta-security-katie-moussouris-zoom-bug-bounty/

Encryptie

De oplossing is uitsluitend beschikbaar als SaaS (of hybride cloud), dus klanten moeten Zoom vertrouwen om de infrastructuur te beschermen en hun gegevens te respecteren. In de hybride cloud-modus worden gebruikers- en vergader metadata beheerd in de publieke cloud, terwijl video-, spraak- en gegevensdeling via de on-premise Zoom-meetingsconnector verloopt.

Zoom had eerder gesuggereerd dat zijn communicatie end-to-end gecodeerd was, maar bij nader inzien is gebleken dat dit strikt genomen niet het geval is (met behulp van onze definitie hierboven)[1]. Bovendien meldde Citizen Lab dat de communicatie van Zoom is versleuteld met de AES-128 en niet met de AES-256 die eerder door Zoom werd aangegeven[2]. Problematischer voor sommige gebruikers is dat de AES-128-versleutelingssleutels van de Zoom aan derden kunnen worden doorgegeven, mogelijk in China.

Zoom heeft echter krachtig gereageerd door deze en andere problemen aan te pakken en de nieuwe 5.0-update bevat een verbeterde versleuteling. De nieuwe ‘Galois Counter Mode’ (GCM)[3] versleuteling maakt gebruik van het 256-bits ‘Advanced Encryption Standard’ (AES) algoritme[4], dat als standaard, redelijk en geschikt voor dit soort toepassingen wordt beschouwd. Een grondige evaluatie van de implementatie van dit algoritme door Zoom valt buiten het bestek van deze evaluatie, maar het zou eerlijk zijn om te stellen dat Zoom met deze update de primaire historische zorgen over de versleuteling van het algoritme heeft weggenomen.

Kennelijk heeft Zoom de overname van Keybase aangekondigd om de encryptiemogelijkheden te versterken. Keybase levert momenteel een end-to-end versleuteld beveiligd berichten- en bestanduitwisselingsplatform. Zoom heeft verklaard dat de overname een belangrijke stap is in hun “poging om een echt privé videocommunicatieplatform te creëren dat kan schalen naar honderden miljoenen deelnemers, terwijl het ook de flexibiliteit heeft om de grote verscheidenheid aan toepassingen van Zoom te ondersteunen”. Hoewel het ons in dit stadium niet duidelijk is wat de strategie van Zoom voor deze overname is, lijkt het erop dat de technologie Zoom zeer sterk zou positioneren om op een bepaald moment in de toekomst volledige end-to-end versleuteling te bieden op basis van beproefde publieke sleutelversleutelingsmethoden.

Authenticatie

Beheerders van Zoom kunnen two-factor authenticatie inschakelen met behulp van Google Authenticator, Microsoft Authenticator of FreeOTP [5].

Volgens de website is Zoom single sign-on (SSO) gebaseerd op de Security Assertion Markup Language (SAML 2.0 ) [6]. Zoom fungeert als de Service Provider (SP) en biedt automatische gebruikersvoorziening. U hoeft zich niet te registreren als gebruiker in Zoom. Het kan ook werken met andere Service Providers zoals PingOne, Okta, Azure, Centrify, Shibboleth, Gluu, G Suite/Google Apps en OneLogin. Zoom kan ook werken met Microsoft’s ADFS 2.0 [7] SAML-implementatie.

Zoom biedt eigenlijk een lokale 2FA-implementatie via verschillende ‘One Time Pin’-applicaties voor mobiel, maar deze worden alleen afgedwongen voor de authenticatie naar de webinterface, dus niet voor het aansluiten van vergaderingen via de mobiele of desktopapplicaties. De verschillende ondersteunde SSO-platformen zouden echter verbeterde functies mogelijk maken, zoals push-to-mobile voor sterke authenticatie voor alle elementen van het Zoom-ecosysteem.

Tot voor kort dwongen directe Zoom-vergaderingen geen wachtwoord af, wat betekent dat iedereen die het vergader-ID kreeg soms met grappige trucjes en soms met meer onethisch gedrag aan de lopende vergadering kon deelnemen, maar dit probleem lijkt te zijn aangepakt door een reeks nieuwe functies, met als hoogtepunt de release van Zoom v5.

Er is ook onthuld dat de Zoom-instellingen hetzelfde domein-e-mailadres zouden toevoegen aan een enkele map, waarbij in sommige gevallen mensen die een persoonlijk e-mailadres gebruiken zouden kunnen worden toegevoegd aan een pool van contactpersonen waar ze niets van weten en die hun persoonlijke informatie, zoals e-mailadres en foto, zouden kunnen delen. Vanaf 18 april heeft Zoom aangegeven dat gebruikers niet langer op volledige naam kunnen zoeken naar contactpersonen met hetzelfde domein als ze niet op dezelfde account of organisatie zitten. Wij zijn van mening dat deze wijziging het bovenstaande probleem verzacht.

Regelgeving & jurisdictie

Zoom Inc is een geregistreerd Amerikaans bedrijf, maar de media hebben gesuggereerd dat het nauw geïntegreerd is met verschillende Chinese bedrijven, dat het ontwikkelaars in China in dienst heeft en dat het inderdaad per ongeluk wat verkeer door servers in China heeft geleid voor een kleine subgroep van hun gebruikers. Dit leidde tot bezorgdheid en verontrusting bij gebruikers en bedrijven die dachten dat Zoom volledig onder de jurisdictie van de VS viel[8].

Zoom heeft echter wel een optie onder de geavanceerde instellingen voor betaalde accounts waarmee gebruikers zich kunnen afmelden voor bepaalde datacenterregio’s. Elk aantal regio’s kan worden gedeselecteerd, behalve de regio van waaruit de account is voorzien. Volgens de site van Zoom “Datacenterregio’s selecties zijn alleen van toepassing op vergader- en webinarverkeer. De selecties hebben geen invloed op de locatie van de gegevens in rust. Selecties voor datacenterregio’s zijn ook niet van toepassing op Zoom Phone of aanverwante functies”[9].

Een andere functie die wordt gepromoot op de website van Zoom is het vermelden waard. Zoom “Meeting Connector” is een hybride cloudimplementatiemethode, waarmee een klant een Zoom-multimedia-router (software) kan inzetten binnen het interne netwerk van de klant. Volgens hun site: “Metagegevens van gebruikers en vergaderingen worden beheerd in de communicatie-infrastructuur van Zoom, maar de vergadering zelf wordt gehost in het interne netwerk van de klant. Al het realtime vergaderverkeer, inclusief audio, video en gegevensuitwisseling, verloopt via het interne netwerk van het bedrijf”.

Zoom beweert dat zij zich houdt aan privacystandaarden zoals HIPAA en GDPR, en beweert dat haar beleid is ontworpen om te voldoen aan de eisen van de Children’s Online Privacy Protection Act (COPPA), de Federal Education Rights and Privacy Act (FERPA), de California Consumer Privacy Act (CCPA), en andere toepasselijke wetten. Dat blijkt vooral uit het feit dat de relevante gegevens niet worden verzameld of dat er geen toestemming van de gebruiker wordt gevraagd voordat dit gebeurt.

Beveiligingsfuncties en beheer

Zoom biedt een rol-based toegangscontrole waardoor een account extra gebruikersrollen kan hebben. Gebruikersrollen kunnen een set van rechten hebben die alleen toegang geven tot de instellingenpagina’s die een gebruiker moet bekijken of bewerken.

De Zoom-portal ‘Admin Management’ lijkt sterk op de geavanceerde instellingenpagina waarmee een gebruiker zou werken, maar met de toegevoegde mogelijkheid om instellingen te definiëren voor verschillende subsets van gebruikers. Een beheerder kan niet alleen de standaardinstellingen voor deze instellingen instellen, maar kan er ook voor kiezen om een instelling te ‘vergrendelen’ zodat deze niet door een individuele gebruiker kan worden overschreven. Onze ervaring met de interface toonde aan dat het snel, eenvoudig en intuïtief is als het eenmaal goed geïnstalleerd is.

De portal maakt het ook mogelijk voor beheerders om de softwareversies te bekijken die voor verschillende gebruikers draaien, maar er lijkt geen manier te zijn om de cliëntsoftware centraal te beheren. Volgens de Zoom-site kan “de Desktop Client op 3 verschillende manieren massaal worden geconfigureerd voor Windows: via het MSI-installatieprogramma voor zowel configuratie als installatie, een Active Directory administratiesjabloon dat gebruik maakt van Group Policy voor configuratie, of via registersleutels voor configuratie”[10].

Kwetsbaarheid en exploitatiegeschiedenis

De NIST National Vulnerability Database heeft zes kwetsbaarheden voor Zoom geregistreerd sinds begin 2019:

Year Reported NVD Total Percentage
2019 3 17,308 0.02%
2020 6 7,519 0.08%

Een aantal van de hierboven genoemde kwetsbaarheden zou als ‘ernstig’ worden beschouwd, maar ten minste twee daarvan worden door Zoom betwist.

De recente kwetsbaarheden en inbreuken hebben veel aandacht getrokken en blijkbaar het vertrouwen in de technologie ondermijnd. Hier volgt een korte samenvatting:

  • Zoom, door de Facebook Software Development Kit (SDK) blijkbaar verkeerd te begrijpen, heeft gegevens van iOS-gebruikers gedurende een bepaalde tijd met Facebook gedeeld. Gelukkig werden deze datatransfers na melding stopgezet.
  • Citizen Lab meldde een probleem waarbij Zoom automatisch een live videostream van de vergadering, evenals de ontcijferingssleutel van de vergadering, naar alle gebruikers in de wachtkamer van een vergadering zou sturen.
  • Met Zoom kunt u automatisch mappen genereren: mensen die in hetzelfde bedrijf werken kunnen mappen groeperen. Er waren echter zorgen omdat Zoom hetzelfde deed met persoonlijke e-mailadressen zoals Gmail, waardoor honderdduizenden e-mailadressen werden blootgesteld aan andere derde partijen.
  • Een vorige versie van Zoom voor MacOS installeerde een geheime webserver, die niet werd verwijderd toen het programma werd verwijderd. Dit probleem werd uiteindelijk aangepakt na enige publieke verontwaardiging.

Zoom lijkt deze veiligheidskwesties echter te begrijpen en heeft op strijdlustige wijze de nodige maatregelen genomen om deze problemen aan te pakken en kwetsbaarheden zo snel mogelijk te verhelpen. De nieuwe 5.0 update adresseert alle kwetsbaarheden die ons op het moment van schrijven bekend zijn, zoals samengevat in de onderstaande tabel.

 

Onderwerp Bron Openbaarmakingsdatum Oplossingsdatum Oplossing Beschrijving / Link
Aandacht traceren https://www.vice.com/en_us/article/qjdnmm/working-from-home-zoom-tells-your-boss-if-youre-not-paying-attention 16 maart 2020 1 april 2020 Verwijder functie https://blog.zoom.us/wordpress/2020/04/01/amessage-to-our-users/
Zoom bombing https://techcrunch.com/2020/03/17/zoombombing/ 17 maart 2020 20 maart 2020 Best security practices https://blog.zoom.us/wordpress/2020/03/20/keepuninvited-guests-out-of-your-zoom-event/
Facebook SDK https://www.vice.com/en_us/article/k7e599/zoom-ios-app-sends-data-to-facebook-even-if-you-donthave-a-facebook-account 26 maart 2020 27 maart 2020 Verwijder FB SDK https://blog.zoom.us/wordpress/2020/03/27/zoom-use-of-facebook-sdk-in-ios-client/
End to End encryptie https://theintercept.com/2020/03/31/zoom-meeting-encryption/ 31 maart 2020 1 april 2020 Verduidelijking over Zoom-codering https://blog.zoom.us/wordpress/2020/04/01/facts-around-zoom-encryption-for-meetings-webinars/
Microsoft UNC Links https://www.bleepingcomputer.com/news/security/zoom-lets-attackers-steal-windows-credentials-run-programs-via-unc-links/ 31 maart 2020 1 april 2020 Software update https://blog.zoom.us/wordpress/2020/04/01/amessage-to-our-users/
Mac Local Privilege https://www.vmray.com/cyber-security-blog/zoom-macos-installer-analysis-good-apps-behaving-badly/ 1 april 2020 1 april 2020 Software update https://blog.zoom.us/wordpress/2020/04/01/amessage-to-our-users/
Routing Data naar China https://theintercept.com/2020/04/03/zooms-encryption-is-not-suited-for-secrets-and-has-surprising-links-to-china-researchers-discover/ 3 april 2020 3 april 2020 Configuratiecontrole https://blog.zoom.us/wordpress/2020/04/03/response-to-research-from-university-of-torontos-citizen-lab/

Sources

[1] https://theintercept.com/2020/03/31/zoom-meeting-encryption/
[2] https://citizenlab.ca/2020/04/move-fast-roll-your-own-crypto-a-quick-look-at-the-confidentiality-of-zoom-meetings/
[3] https://link.springer.com/referenceworkentry/10.1007%2F978-1-4419-5906-5_451
[4] https://www.itpro.co.uk/security/29671/what-is-aes-encryption
[5] https://support.zoom.us/hc/en-us/articles/360038247071-Setting-up-and-using-two-factor-authentication
[6] https://en.wikipedia.org/wiki/Security_Assertion_Markup_Language
[7] https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc786469(v=ws.10)
[8] https://www.cnbc.com/2020/04/15/nancy-pelosi-calls-zoom-a-chinese-entity.html
[9] https://support.zoom.us/hc/en-us/articles/360042411451-Selecting-data-center-regions-for-hosted-meetings-and-webinars
[10]https://support.zoom.us/hc/en-us/articles/201362163-Mass-Installation-and-Configuration-for-Windows
[11] https://betanews.com/2020/03/28/zoom-data-sharing-update/
[12] https://citizenlab.ca/2020/04/zooms-waiting-room-vulnerability/
[13] https://digitalguardian.com/blog/zooms-privacy-problems-snowball-two-zero-days-uncovered
[14] https://www.theverge.com/2019/7/8/20687014/zoom-security-flaw-video-conference-websites-hijack-mac-cameras


Microsoft Teams

Microsoft Teams is een bedrijfseigen collaboratieve communicatietoepassing, die alleen in SaaS-modus werkt, officieel gelanceerd door Microsoft in november 2016. De dienst kan worden geïntegreerd met de Microsoft Office 365-suite en Skype for Business. Het zal naar verwachting ook Skype vervangen, dat in juli 2021 zal worden verlaten. De oplossing maakt samenwerking mogelijk (co-publicatie, opslag van documenten, toegang tot e-mails en een instant messaging systeem, etc.) en biedt dus veel meer dan de traditionele mogelijkheden van videoconferentiesystemen. Teams biedt ook uitbreidingen aan die in andere producten dan Microsoft kunnen worden geïntegreerd.

Microsoft Teams is beschikbaar in een gratis versie, beperkt tot 300 leden, sinds 13 juli 2018, hoewel sommige functies van Office 365 ontbreken. De oplossing claimt nu meer dan 44 miljoen actieve gebruikers met een exponentiële versnelling sinds het begin van de massale pandemie-gedreven thuiswerkmigratie in veel landen.

Functies

De oplossing is beschikbaar op de meeste Microsoft Windows, MacOS, Android, iOS en GNU/Linux distributies. Het product is volledig bruikbaar via een browser, zonder dat er een werkstation hoeft te worden geïnstalleerd. Echter, de optionele rich client of een volledig ondersteunde browser (zoals Microsoft Edge op basis van Chromium of Chrome zelf) is nodig om toegang te krijgen tot geavanceerde functies zoals het delen van content, controle over gedeelde content en de achtergrond.

Er bestaat een gratis versie voor het MKB (tot 300 gebruikers), hoewel deze slechts een zeer beperkte functionaliteit biedt. Wij vinden dat de oplossing misschien een beetje heftig is voor zeer basale of incidentele behoeften.

Resultaten tabel

Encryptie
Gebruikt een geschikt encryptie-algoritme Volledig Alle door Office 365 ondersteunde cijferreeksen maken gebruik van algoritmen die onder FIPS 140-2 aanvaardbaar zijn. Office 365 erft FIPS validaties van Windows.
Gebruikt een sterke encryptiesleutel Volledig AES-GCM met 256-bits sleutels

Zie https://docs.microsoft.com/en-us/windows/win32/secauthn/cipher-suites-in-schannel

De gegevens worden bij normaal gebruik gecodeerd tijdens het transport Volledig Zie https://docs.microsoft.com/en-us/microsoftteams/teams-security-guide
Gegevens blijven gecodeerd op de servers van de provider Onduidelijk We konden dit niet ophelderen aan de hand van openbaar beschikbare informatie

Zie https://docs.microsoft.com/en-us/microsoftteams/teams-security-guide

Stem, video en tekst zijn allemaal gecodeerd Volledig Zie https://docs.microsoft.com/en-us/microsoft-365/compliance/encryption?view=o365-worldwide
Bestandsoverdrachten & sessie-opnamen zijn gecodeerd Volledig Zie https://docs.microsoft.com/en-us/microsoft-365/compliance/encryption?view=o365-worldwide
Bestandsoverdrachten & sessie-opnamen zijn gecodeerdVendor technically can’t decrypt the data at any point, even under regulatory pressure (full E2EE) Gedeeltelijk Een functie genaamd Service Encryption maakt het voor uw organisatie mogelijk om de root keys aan te leveren en de mogelijkheid van Microsoft om uw gegevens te verwerken te controleren.
Encryptie-implementatie heeft het onderzoek in de loop van de tijd doorstaan Volledig
Authenticatie
Beheerders kunnen het beveiligingsbeleid voor wachtwoorden definiëren Volledig
Ondersteunt MFA als standaard Volledig
Kan integreren met Active Directory of vergelijkbaar Volledig
Kan integreren met SSO-oplossingen via SAML of vergelijkbaar Volledig
Biedt RBAC aan Volledig
Maakt het mogelijk om wachtwoorden in te stellen voor vergaderingen Niet Zie https://docs.microsoft.com/en-us/microsoftteams/meeting-policies-in-teams
Maakt het mogelijk om het beveiligingsbeleid voor vergaderingen met wachtwoorden in te stellen Niet
Jurisdictie
Adres hoofdkantoor USA One Microsoft Way, Redmond, Washington, U.S.A
De verkoper kan technisch gezien geen toegang krijgen tot de gegevens zonder toestemming van de klant Gedeeltelijk Een functie genaamd Service Encryption maakt het voor uw organisatie mogelijk om de root keys aan te leveren en de mogelijkheid van Microsoft om uw gegevens te verwerken te controleren.
Een volledige on-prem versie is beschikbaar voor gebruikers die de leverancier niet willen vertrouwen. Niet
Voor SaaS-modi kan de klant selecteren welke landen of politieke regio’s gegevens worden opgeslagen of verwerkt in Volledig Zie https://docs.microsoft.com/en-us/microsoftteams/location-of-data-in-teams
Voldoet aan de toepasselijke veiligheidscertificaten (bv. ISO27002 of BSI C5) Volledig Zie https://docs.microsoft.com/en-us/microsoft-365/compliance/offering-iso-27001?view=o365-worldwide

en https://docs.microsoft.com/en-us/microsoft-365/compliance/offering-c5-germany?view=o365-worldwide

Voldoet aan de juiste privacynormen (bijv. FERPA of GDPR). Volledig
  • SSAE16
  • SOC 1 and SOC 2
  • HIPAA
  • EU Model Clauses (EUMC)
Biedt een transparantierapport met informatie over verzoeken om gegevens, dossiers of inhoud. Volledig Zie https://www.microsoft.com/en-us/corporate-responsibility/law-enforcement-requests-report
Security Management
Biedt andere vormen van toegangscontrole tot vergaderingen, bijvoorbeeld wachtkamers, lock-out, bannen, enz. Gedeeltelijk Wachtruimte
Maakt het mogelijk om granulaire controle uit te oefenen op acties binnen de vergadering, zoals het delen van het scherm, bestandsoverdracht, afstandsbediening. Volledig Zie https://docs.microsoft.com/en-us/microsoftteams/meeting-policies-in-teams#meeting-policy-settings—general
Biedt duidelijke centrale controle over alle beveiligingsinstellingen Volledig Zie https://docs.microsoft.com/en-us/microsoftteams/manage-teams-skypeforbusiness-admin-center
Maakt monitoring en onderhoud van endpointsoftwareversies mogelijk Volledig Via Microsoft Endpoint Configuration Manager, MSI, GPO of andere Microsoft-tools.
Biedt compliance-functies zoals eDiscovery & Legal Hold Volledig Zie https://docs.microsoft.com/en-us/microsoftteams/security-compliance-overview
Auditing en rapportage Volledig Zie https://docs.microsoft.com/en-us/microsoft-365/compliance/search-the-audit-log-in-security-and-compliance?view=o365-worldwide
Extra content veiligheidscontroles zoals DLP, watermerken, enz. Volledig
  • Geavanceerde bescherming tegen bedreigingen
  • Veilige koppelingen
  • Veilige bijlagen
  • Informatiebarrières
  • Communicatie Naleving
  • Preventie van gegevensverlies
  • Specifieke toepassingen delen
Vulnerability Management
Percentage van NVD 2019 0.01
Percentage van NVD 2020 0.00
Vendor maakt bekend welke kwetsbaarheden zijn aangepakt Gedeeltelijk
Vendor voert een bug bounty uit Volledig Zie https://www.microsoft.com/en-us/msrc/bounty-microsoft-cloud?rtc=1

Encryptie

Teams maakt gebruik van Transport Layer Security (TLS) en mutual TLS (MTLS) die het instant message verkeer versleutelen. Point-to-point audio, video en het delen van toepassingen worden gecodeerd met behulp van Secure Real-Time Transport Protocol (SRTP) . Bestanden worden opgeslagen in SharePoint en beveiligd met SharePoint-versleuteling. Notities worden beheerd via OneNote en beveiligd met OneNote encryptie, ook gehost op een SharePoint. Microsoft beweert dat met Microsoft O365 gegevens tijdens het transport en in rust worden versleuteld.

De netwerkcommunicatie is versleuteld. Alle Teams servers moeten gebruik maken van certificaten en technologieën zoals Oauth, TLS of SRTP plus een 256-bits encryptie. De communicatie is versleuteld van de gebruikers naar de Teams servers, wat betekent dat ze niet van begin tot eind zijn versleuteld.

Teams eist dat alle servers ten minste één distributiepunt van de Certificate Revocation List bevatten om na te gaan of een certificaat niet is ingetrokken sinds het moment dat het is afgegeven.

Microsoft O365 biedt een extra coderingslaag op applicatieniveau, genaamd ‘service encryption’, die gegevens van Exchange Online, Skype for Business, SharePoint Online, OneDrive for Business en Teams bestanden omvat.

Volgens Microsoft Tech Community contributor ‘Alexwall’ , “behoudt Microsoft een beschikbaarheidssleutel, wat betekent dat Microsoft toegang heeft tot alle klantgegevens. Het gebrek aan encryptie van de berichten van Teams en het bestaan van een beschikbaarheidssleutel voor alle diensten zou een zorg zijn voor een klant die 100% veiligheid wil”.

De mobiele client ondersteunt App Protection Policies van Microsoft InTune die ervoor zorgen dat de inhoud ervan versleuteld wordt op het mobiele endpoint.

Authenticatie

Authenticatie is gebaseerd op Office 365 met Microsoft Azure in het bijzonder. Microsoft Teams desktop-monitoren voor Windows en Mac ondersteunen ‘moderne authenticatie’, die aanmeldingen op basis van de Azure Active Directory Authentication Library (ADAL) naar Microsoft Office-applicaties over verschillende platformen heen brengt. Microsoft Teams ondersteunt alle identiteitsmodellen die beschikbaar zijn met Office 365 en heeft een uitgebreide set van tools voor voorziening en beheer van identiteiten, allemaal gekoppeld aan bestaande Active Directory of Azure-implementaties.

Multi Factor authenticatie wordt ondersteund met elk Microsoft 365- of Office 365-plan dat Microsoft Teams omvat, met ondersteuning voor telefoongesprekken, tekst, One Time Pin of Mobile App Notification als tweede factor. Gebruikers profiteren ook van de extra veiligheidscontroles die Microsoft biedt voor het hele O365-dienstenpakket.

Jurisdictie & regelgeving

Teams is door Microsoft gecategoriseerd als een ‘Tier D’-conforme applicatie, wat betekent dat deze voldoet aan ISO 27001, ISO 27018, SSAE16 SOC 1 en SOC 2, HIPAA en de EU Model Clausules (EUMC). Teams is ook in overeenstemming met de BSI Cloud Security Alliance van de Duitse overheid.

Alleen voor nieuwe klanten bevinden de gegevens in Teams zich in de geografische regio die verbonden is met de Office 365-organisatie van de klant. Momenteel ondersteunt Teams de regio’s Australië, Canada, Frankrijk, Duitsland, India, Japan, Zuid-Afrika, Zuid-Korea, Zwitserland (inclusief Liechtenstein), de Verenigde Arabische Emiraten, het Verenigd Koninkrijk, Amerika, APAC en EMEA. We hebben niet kunnen vaststellen of dit ook geldt voor spraak-, video- en tekstcommunicatie.

De teams zijn echter een SaaS-oplossing die door Microsoft wordt geleverd en die onder de jurisdictie van de regering van de Verenigde Staten valt. Encryptiesleutels zijn standaard eigendom van Microsoft en kunnen dus technisch gezien uw gegevens ontcijferen. Dit kan van belang zijn voor klanten die buiten de Verenigde Staten opereren.

Beveiligingsfuncties en beheer

Microsoft Teams wordt afzonderlijk ondersteund als een cloud-app in Azure Active Directory voor voorwaardelijke toegang. Voorwaardelijk toegangsbeleid dat is ingesteld voor de Microsoft Teams cloud-applicatie is van toepassing op Microsoft Teams wanneer een gebruiker zich aanmeld

Als onderdeel van Microsoft 365, profitereert Teams van een uitgebreide en granulaire set van gecentraliseerde beveiligings- en nalevingsbeheertools die goed geschikt zijn voor de onderneming, vooral als Microsoft AD of Azure al in gebruik zijn.

Microsoft 365, met al zijn onderling verbonden toepassingen is echter zeer geavanceerd en complex. Wij zijn van mening dat de gemiddelde organisatie zonder de vereiste vaardigheid en passende zorg eerder te maken krijgt met een breuk door een toevallig lek of een verkeerde configuratie dan als gevolg van technische onderschepping van gegevens door een tegenstander of Microsoft zelf.

Kwetsbaarheid en exploitatiegeschiedenis

In de NIST National Vulnerability Database is in de periode vanaf begin 2019 tot het moment van schrijven een kwetsbaarheid voor Microsoft Teams geregistreerd en een aantal voor bijbehorende producten zoals Skype, Skype for Business en SharePoint.

Year Reported NVD Total Percentage
2019 1 17,308 0.01%
2020 0 7,545 0.00%

Op 28 april 2020 hebben onderzoekers van CyberArk een proof-of-concept (PoC)-aanval gemaakt waarbij een aanvaller van binnenuit een kwaadaardig GIF te zien krijgt, waardoor een aanvaller het Teamsaccount van het slachtoffer kan overnemen. Zij rapporteerden twee onveilige subdomeinen aan Microsoft, die het probleem in minder dan een maand oploste. Met behulp van de bug kon een aanvaller toegang krijgen tot de Teams accounts van een organisatie door Teams API-aanroepen te maken, waardoor men berichten kan lezen en versturen, groepen kan aanmaken en gebruikers kan toevoegen en verwijderen.

Hoewel er over het algemeen weinig gegevens zijn om het beveiligingserfgoed van deze producten te beoordelen, zou het eerlijk zijn om te stellen dat Microsoft krachtige processen heeft en in dit opzicht een sterke reputatie heeft opgebouwd.

Sources

[1] https://docs.microsoft.com/en-gb/MicrosoftTeams/get-clients
[2] https://en.wikipedia.org/wiki/Secure_Real-time_Transport_Protocol
[3] https://docs.microsoft.com/en-us/microsoftteams/teams-security-guide
[4] https://docs.microsoft.com/en-us/microsoft-365/compliance/office-365-service-encryption?view=o365-worldwide
[5] https://techcommunity.microsoft.com/t5/user/viewprofilepage/user-id/555109
[6] https://techcommunity.microsoft.com/t5/microsoft-teams/end-to-end-encryption-with-microsoft-teams/m-p/804842
[7] https://docs.microsoft.com/en-us/mem/intune/apps/app-protection-policy
[8] https://docs.microsoft.com/en-us/MicrosoftTeams/identify-models-authentication
[9] https://docs.microsoft.com/en-us/microsoftteams/location-of-data-in-teams

1: Video killed the conferencing star
2: In-depth product analysis – Zoom & Microsoft Teams


Authors

Head of Security Research

Charl van der Walt

Technical thought leader, spokesman and figurehead for Orange Cyberdefense world-wide, leading and managing the OCD Security Research Center – a specialist security research unit. We identify, track, analyze, communicate and act upon significant developments in the security landscape.

Senior Consultant Cybersecurity

Quentin Aguesse

Graduated from a French Business School, Quentin is now senior consultant at Orange Cyberdefense operating from Casablanca (Morocco). With nearly 10 years of experience, Quentin has specialised in risk assessment , disaster recovery planning, as well as cybersecurity awareness.

Consultant Cybersecurity

Jérôme Mauvais

As a specialist in regulatory compliance, Jérôme Mauvais is a security consultant for Orange Cyberdefense. Highly invested in the protection of personal data, Jérôme has also been remarked all along his career for his great capacities of knowledge transmission.

Lead Security Researcher (MSIS Labs)

Carl Morris

Carl has over 20 years’ experience working within IT, covering the whole breadth of the IT infrastructure, with a primary focus and interest on the security related solutions. This has been followed by a decade working in MSSP’s, the latest of which being at SecureData for over 7 years. Initially as an Escalation Engineer followed by moving into Professional Services then to the Managed Threat Detection team as a Senior Security Analyst before moving into the Labs team as a Lead Security Researcher.


Delen