Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Google publiceert details over geavanceerde hack met vier zerodays

Google heeft details vrijgegeven over een aanval die bijna een jaar geleden plaatsvond op Android- en Windows-apparaten. De aanvallers maakten daarbij gebruik van verschillende zerodays en bekende kwetsbaarheden, waaronder een sandbox escape en een privilege escalation.

Details over de hack staan in een zesdelige blogpostserie van Googles Project Zero-team. Die beschrijft een gerichte aanval via een watering hole, waarbij een domein dat een slachtoffer vaak gebruikt of bezoekt wordt geïnfecteerd met malware. Het zou gaan om een geavanceerde aanval waarbij de hackers complexe code gebruiken en veel verschillende soorten exploits inzetten. Ook wisten de aanvallers detectietechnieken te omzeilen.

Bij de aanval misbruikten de hackers vier bugs in Google Chrome, waarvan één een zeroday was. Ook gebruikten ze drie zerodays in Windows, waarvan twee in de font library van het besturingssysteem zaten, om twee sandbox escapes te doen. Voor Android werd een al bekende exploit gebruikt om een privilege escalation uit te voeren. De zeroday in Chrome, CVE-2020-6418, zat in de TurboFan-component en is in februari vorig jaar gerepareerd. De kwetsbaarheden in Windows waren kwetsbaarheden in de Adobe Type Manager Font Driver. Dat waren CVE-2020-0938 en CVE-2020-1020. Er zat ook een buffer overflow-kwetsbaarheid in CSRSS, CVE-2020-1027. Die laatste drie zijn gerepareerd in april.

De aanvallers kwamen binnen via iframes op websites. Daarna werd er gebruik gemaakt van een zeroday in Chrome, waarbij op Windows ook eerst zeroday werd gebruikt om uit die sandbox te ontsnappen. Vervolgens werd er een privilege escalation uitgevoerd waardoor een payload kon worden geïnstalleerd op een systeem.

Google zag een aantal opvallende aspecten aan de malware. Zo was er het feit dat de aanvallers logging toevoegden aan de Android-malware. Daarbij werd er gedetailleerde informatie naar de command-and-controlservers gestuurd als er errors voorkwamen bij het uitvoeren van de malware. Google zegt dat de aanvallers zo geavanceerd waren dat ze hoogstwaarschijnlijk ook toegang hadden tot zerodays op Android, maar die zijn de onderzoekers niet tegengekomen. Het bedrijf zegt ook niet tegen wie de aanvallen gericht waren en wie erachter zit.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Tijs Hofmans

Redacteur privacy & security

13-01-2021 • 11:08

23 Linkedin

Reacties (23)

Wijzig sortering
Ik vidn het het wel james bond achtig als ik dit lees. Volgens mij moet je enorm veel technische kennis hebben om dit te kunnen. Ik vraag mij af of je als programmeur dan niet heel veel geld zou kunnnen verdienen bij software bedrijven, of betalen deze bedrijven zo slecht dat deze slimme gasten maar de illigaliteit in gaan? De slimme programmeurs in mijn omgeving verdienen goed, maar het beste verdienen hun managers en non technical collega's.
Dit soort geavanceerde hacks worden vaak in opdracht van overheden gedaan, in plaats van in opdracht voor criminele organisaties.
Dit soort geavanceerde hacks worden vaak in opdracht van overheden gedaan, in plaats van in opdracht voor criminele organisaties.
En natuurlijk zit er overlap tussen die twee types werkgever...
Bedrijven betalen vaak goed (het blijft tenslotte een goed verdienende branche met te weinig mensen die er willen werken, en bedrijven willen niet dat je na een halfjaartje naar de concurrent gaat omdat die meer biedt), maar er is vaak meer te verdienen door dit soort trucjes uit te halen. Het is een morele afweging eerder, en dan nog of het geld de kans op consequenties waard is.

Als je echt de juiste kennis en certificaten hebt kan je vrij zeker meer verdienen dan je manager etc; een maat van mij is 1 van de X (geloof 10 of minder) met een specifiek CISCO certificaat en die is direct na zijn studie begonnen voor een flink hoog bedrag, een stuk hoger dan de "normale" afstudeerder zou verdienen. Het exacte bedrag heb ik niet van hem gehoord, maar het leek te gaan om een verdubbeling of meer. Het ligt allemaal aan wat je kan en of je bedrijf er wat mee doet.

[Reactie gewijzigd door JH34D op 13 januari 2021 11:28]

Er is vrij weinig James Bond achtigs aan. Exploit development is gewoon een vorm van engineering en vooral veel en hard werken. Het betaald wel vrij goed, maar dat doet een baan bij een FAANG company ook. Het is alleen wel echt een andere skillset dan "gewoon" programmeur zijn.

Veel van dit soort werk is trouwens helemaal niet illegaal perse. Ik ken de nodige bedrijven die dit gewoon legaal doen en zich aan de geldende (strenge) wetgeving (Wassenaar agreement etc.) houden. Hun klanten zitten in de intelligence en forensische hoek. Meer hoef ik dan neem ik aan niet uit te leggen ;)
Er is vrij weinig James Bond achtigs aan. Exploit development is gewoon een vorm van engineering en vooral veel en hard werken.
Dit. Veel lezen, leren, hard werken, vallen en weer opnieuw.
Gaandeweg doe je enorm veel kennis op van programmeren, software, netwerken, netwerk hardware, encryption, processor logic, hardware, authenticatie mechanismes, etc.. maar ook veel toewijding en doorzettingsvermogen. Kwaliteiten waar bepaalde werkgevers graag voor willen belonen.
ik doe de aanname dat het type persoon dat programmeur is, niet supergoed is in salaris onderhandelingen, en het type dat manager wordt, hier beter in is.

En wellicht dat de programmeurs er al langer werken en dus minder snel switchen van werk waar vaak ook weer een loonsverhoging door komt.
De markt in zero day exploits, is huge. Overheden en andere instanties zitten maar al te graag te wachten op exploits tegen hoge betaling(en). Als je er eentje hebt waarmee je een Iphone device, Android, Windows PC met Chrome kunt doorbreken, je kijkt tegen miljoenen dollars aan.
Ik vraag mij af of je als programmeur dan niet heel veel geld zou kunnnen verdienen bij software bedrijven, of betalen deze bedrijven zo slecht dat deze slimme gasten maar de illigaliteit in gaan?
Goede vraag, maar de bedrijven betalen deze mensen erg goed, maar helaas kunnen ze niet iedereen aannemen. Daarom belanden ze in de misdaad, maar ze in de misdaad wereld hebben ze een voordeel, veel vrijheid! Dat ze alles willen proberen, want als je bij een bedrijf werkt, moet je wel oppassen dat je niet te ver gaat. Dat lijkt me wel een belemmering van zijn/haar ontwikkeling. Daarom willen de geheime diensten ze hebben.
buiten het feit dat dit ook door overheden en bedrijven wordt gedaan zijn er in dit geval natuurlijk nog de criminele organisaties die over een berg geld beschikken. Het makkelijkste voorbeeld zijn drugskartels die tientallen miljarden hebben en een programmeur een miljoentje of meer geven om bvb patrouilleroutes te achterhalen.
Er zijn wereldwijd een paarhonderd experts die dit vanaf scratch kunnen bedenken, een aantal (tien)duizenden die het idee tot een werkende exploit kunnen maken, en miljoenen die zo'n exploit kit kunnen installeren.
Voor de mensen die denken dat je systeem niet volledig over genomen kan worden door alleen maar op een link te klikken :)
Tjah Android is ook gebaseerd op de linux kernel...
Kernel is een ding, maar de gebruiksschil eromheen is vaak makkelijker aan te vallen.
En het zijn just de tools die root rechten geven waar je wat mee wil, of services die onder root draaien...
In een telefoon de Android schil dus... bij gebrek aan services met privileges.
Maakt niet uit, het is chrome en die is ook voor linux beschikbaar.
Het is dat ze de osexploits er nog niet bij hebben.
Dat laatste dus.
Lang leven no-script bedoel je (whatever het OS)
Oh shit.. mijn systeem, wat doe je :o

(oh wat mis ik de good-old +1 humor)

[Reactie gewijzigd door 12_0_13 op 13 januari 2021 11:27]

Heerlijk verpest door eerst een reclame... 8)7
Zeer interessant om te lezen, dit is toch wel het echte werk, indrukwekkend, al zijn de bedoelingen waarschijnlijk niet goed natuurlijk, dit is toch wel het ''echte'' hacken.
Voor wie zulke verhalen interessant vindt, ik vond dit ook erg indrukwekkend.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True