Google publiceert details over geavanceerde hack met vier zerodays

Google heeft details vrijgegeven over een aanval die bijna een jaar geleden plaatsvond op Android- en Windows-apparaten. De aanvallers maakten daarbij gebruik van verschillende zerodays en bekende kwetsbaarheden, waaronder een sandbox escape en een privilege escalation.

Details over de hack staan in een zesdelige blogpostserie van Googles Project Zero-team. Die beschrijft een gerichte aanval via een watering hole, waarbij een domein dat een slachtoffer vaak gebruikt of bezoekt wordt geïnfecteerd met malware. Het zou gaan om een geavanceerde aanval waarbij de hackers complexe code gebruiken en veel verschillende soorten exploits inzetten. Ook wisten de aanvallers detectietechnieken te omzeilen.

Bij de aanval misbruikten de hackers vier bugs in Google Chrome, waarvan één een zeroday was. Ook gebruikten ze drie zerodays in Windows, waarvan twee in de font library van het besturingssysteem zaten, om twee sandbox escapes te doen. Voor Android werd een al bekende exploit gebruikt om een privilege escalation uit te voeren. De zeroday in Chrome, CVE-2020-6418, zat in de TurboFan-component en is in februari vorig jaar gerepareerd. De kwetsbaarheden in Windows waren kwetsbaarheden in de Adobe Type Manager Font Driver. Dat waren CVE-2020-0938 en CVE-2020-1020. Er zat ook een buffer overflow-kwetsbaarheid in CSRSS, CVE-2020-1027. Die laatste drie zijn gerepareerd in april.

De aanvallers kwamen binnen via iframes op websites. Daarna werd er gebruik gemaakt van een zeroday in Chrome, waarbij op Windows ook eerst zeroday werd gebruikt om uit die sandbox te ontsnappen. Vervolgens werd er een privilege escalation uitgevoerd waardoor een payload kon worden geïnstalleerd op een systeem.

Google zag een aantal opvallende aspecten aan de malware. Zo was er het feit dat de aanvallers logging toevoegden aan de Android-malware. Daarbij werd er gedetailleerde informatie naar de command-and-controlservers gestuurd als er errors voorkwamen bij het uitvoeren van de malware. Google zegt dat de aanvallers zo geavanceerd waren dat ze hoogstwaarschijnlijk ook toegang hadden tot zerodays op Android, maar die zijn de onderzoekers niet tegengekomen. Het bedrijf zegt ook niet tegen wie de aanvallen gericht waren en wie erachter zit.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 13-01-2021 11:0823

13-01-2021 • 11:08

23 Linkedin

Lees meer

Google waarschuwt voor ongepatchte rce-kwetsbaarheden in Samsung Exynos-modems Nieuws van 17 maart 2023
Google repareert 26 kwetsbaarheden in Chrome 97 waaronder één kritieke Nieuws van 20 januari 2022
Google dicht tiende zerodaylek in Chrome in 2021 Nieuws van 14 september 2021
Google dicht zeroday-lek in Chrome dat actief misbruikt wordt Nieuws van 16 juli 2021
Google Project Zero wacht dertig dagen na fix met publicatie kwetsbaarheden Nieuws van 18 april 2021
Adobe waarschuwt voor zeroday-kwetsbaarheid in Acrobat en Reader Nieuws van 12 februari 2021
Apple dicht drie zerodays in iOS Nieuws van 27 januari 2021
'Journalisten werden aangevallen door zero-click iOS-zeroday' Nieuws van 21 december 2020
Google repareert opnieuw twee zerodays in Chrome Nieuws van 12 november 2020
Google patcht zeroday in V8-engine in Chrome Nieuws van 3 november 2020
Google publiceert details van Windows-zeroday die actief misbruikt wordt Nieuws van 31 oktober 2020
Microsoft repareert twee zerodays in Windows tijdens Patch Tuesday Nieuws van 12 augustus 2020
Meer producten en artikelen
Beveiliging en antivirus Google Chrome Hack

Reacties (23)

-Moderatie-faq
23
22
14
5
0
5
Wijzig sortering
MotorLum
13 januari 2021 11:21
Ik vidn het het wel james bond achtig als ik dit lees. Volgens mij moet je enorm veel technische kennis hebben om dit te kunnen. Ik vraag mij af of je als programmeur dan niet heel veel geld zou kunnnen verdienen bij software bedrijven, of betalen deze bedrijven zo slecht dat deze slimme gasten maar de illigaliteit in gaan? De slimme programmeurs in mijn omgeving verdienen goed, maar het beste verdienen hun managers en non technical collega's.
RemonO
@MotorLum13 januari 2021 11:49
Dit soort geavanceerde hacks worden vaak in opdracht van overheden gedaan, in plaats van in opdracht voor criminele organisaties.
wankel
@RemonO13 januari 2021 17:49
Dit soort geavanceerde hacks worden vaak in opdracht van overheden gedaan, in plaats van in opdracht voor criminele organisaties.
En natuurlijk zit er overlap tussen die twee types werkgever...
JH34D
@MotorLum13 januari 2021 11:27
Bedrijven betalen vaak goed (het blijft tenslotte een goed verdienende branche met te weinig mensen die er willen werken, en bedrijven willen niet dat je na een halfjaartje naar de concurrent gaat omdat die meer biedt), maar er is vaak meer te verdienen door dit soort trucjes uit te halen. Het is een morele afweging eerder, en dan nog of het geld de kans op consequenties waard is.

Als je echt de juiste kennis en certificaten hebt kan je vrij zeker meer verdienen dan je manager etc; een maat van mij is 1 van de X (geloof 10 of minder) met een specifiek CISCO certificaat en die is direct na zijn studie begonnen voor een flink hoog bedrag, een stuk hoger dan de "normale" afstudeerder zou verdienen. Het exacte bedrag heb ik niet van hem gehoord, maar het leek te gaan om een verdubbeling of meer. Het ligt allemaal aan wat je kan en of je bedrijf er wat mee doet.

[Reactie gewijzigd door JH34D op 13 januari 2021 11:28]

StM
@MotorLum13 januari 2021 11:30
Er is vrij weinig James Bond achtigs aan. Exploit development is gewoon een vorm van engineering en vooral veel en hard werken. Het betaald wel vrij goed, maar dat doet een baan bij een FAANG company ook. Het is alleen wel echt een andere skillset dan "gewoon" programmeur zijn.

Veel van dit soort werk is trouwens helemaal niet illegaal perse. Ik ken de nodige bedrijven die dit gewoon legaal doen en zich aan de geldende (strenge) wetgeving (Wassenaar agreement etc.) houden. Hun klanten zitten in de intelligence en forensische hoek. Meer hoef ik dan neem ik aan niet uit te leggen ;)
Vullisbak
@StM13 januari 2021 12:00
Er is vrij weinig James Bond achtigs aan. Exploit development is gewoon een vorm van engineering en vooral veel en hard werken.
Dit. Veel lezen, leren, hard werken, vallen en weer opnieuw.
Gaandeweg doe je enorm veel kennis op van programmeren, software, netwerken, netwerk hardware, encryption, processor logic, hardware, authenticatie mechanismes, etc.. maar ook veel toewijding en doorzettingsvermogen. Kwaliteiten waar bepaalde werkgevers graag voor willen belonen.
Schway
@MotorLum13 januari 2021 11:28
ik doe de aanname dat het type persoon dat programmeur is, niet supergoed is in salaris onderhandelingen, en het type dat manager wordt, hier beter in is.

En wellicht dat de programmeurs er al langer werken en dus minder snel switchen van werk waar vaak ook weer een loonsverhoging door komt.
Jism
@MotorLum13 januari 2021 12:26
De markt in zero day exploits, is huge. Overheden en andere instanties zitten maar al te graag te wachten op exploits tegen hoge betaling(en). Als je er eentje hebt waarmee je een Iphone device, Android, Windows PC met Chrome kunt doorbreken, je kijkt tegen miljoenen dollars aan.
Dark Angel 58
@MotorLum13 januari 2021 12:53
Ik vraag mij af of je als programmeur dan niet heel veel geld zou kunnnen verdienen bij software bedrijven, of betalen deze bedrijven zo slecht dat deze slimme gasten maar de illigaliteit in gaan?
Goede vraag, maar de bedrijven betalen deze mensen erg goed, maar helaas kunnen ze niet iedereen aannemen. Daarom belanden ze in de misdaad, maar ze in de misdaad wereld hebben ze een voordeel, veel vrijheid! Dat ze alles willen proberen, want als je bij een bedrijf werkt, moet je wel oppassen dat je niet te ver gaat. Dat lijkt me wel een belemmering van zijn/haar ontwikkeling. Daarom willen de geheime diensten ze hebben.
dasiro
@MotorLum13 januari 2021 12:53
buiten het feit dat dit ook door overheden en bedrijven wordt gedaan zijn er in dit geval natuurlijk nog de criminele organisaties die over een berg geld beschikken. Het makkelijkste voorbeeld zijn drugskartels die tientallen miljarden hebben en een programmeur een miljoentje of meer geven om bvb patrouilleroutes te achterhalen.
t_captain
@MotorLum13 januari 2021 13:08
Er zijn wereldwijd een paarhonderd experts die dit vanaf scratch kunnen bedenken, een aantal (tien)duizenden die het idee tot een werkende exploit kunnen maken, en miljoenen die zo'n exploit kit kunnen installeren.
GeoBeo
13 januari 2021 11:19
Voor de mensen die denken dat je systeem niet volledig over genomen kan worden door alleen maar op een link te klikken :)
Waswat
@Anoniem: 8704713 januari 2021 11:38
Tjah Android is ook gebaseerd op de linux kernel...
tweaknico
@Waswat13 januari 2021 16:18
Kernel is een ding, maar de gebruiksschil eromheen is vaak makkelijker aan te vallen.
En het zijn just de tools die root rechten geven waar je wat mee wil, of services die onder root draaien...
In een telefoon de Android schil dus... bij gebrek aan services met privileges.
beerse
@Anoniem: 8704713 januari 2021 11:52
Maakt niet uit, het is chrome en die is ook voor linux beschikbaar.
Het is dat ze de osexploits er nog niet bij hebben.
Anoniem: 87047
@beerse13 januari 2021 11:59
Dat laatste dus.
hackerhater
@Anoniem: 8704713 januari 2021 15:17
Lang leven no-script bedoel je (whatever het OS)
thomas1907
@GeoBeo13 januari 2021 11:23
Klik hier
12_0_13
@thomas190713 januari 2021 11:26
Oh shit.. mijn systeem, wat doe je :o

(oh wat mis ik de good-old +1 humor)

[Reactie gewijzigd door 12_0_13 op 13 januari 2021 11:27]

Fluttershy
@thomas190713 januari 2021 12:30
Heerlijk verpest door eerst een reclame... 8)7
Vlizzjeffrey
13 januari 2021 14:38
Zeer interessant om te lezen, dit is toch wel het echte werk, indrukwekkend, al zijn de bedoelingen waarschijnlijk niet goed natuurlijk, dit is toch wel het ''echte'' hacken.
N8w8
@Vlizzjeffrey13 januari 2021 21:25
Voor wie zulke verhalen interessant vindt, ik vond dit ook erg indrukwekkend.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee