Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Google publiceert details over geavanceerde hack met vier zerodays

Google heeft details vrijgegeven over een aanval die bijna een jaar geleden plaatsvond op Android- en Windows-apparaten. De aanvallers maakten daarbij gebruik van verschillende zerodays en bekende kwetsbaarheden, waaronder een sandbox escape en een privilege escalation.

Details over de hack staan in een zesdelige blogpostserie van Googles Project Zero-team. Die beschrijft een gerichte aanval via een watering hole, waarbij een domein dat een slachtoffer vaak gebruikt of bezoekt wordt geïnfecteerd met malware. Het zou gaan om een geavanceerde aanval waarbij de hackers complexe code gebruiken en veel verschillende soorten exploits inzetten. Ook wisten de aanvallers detectietechnieken te omzeilen.

Bij de aanval misbruikten de hackers vier bugs in Google Chrome, waarvan één een zeroday was. Ook gebruikten ze drie zerodays in Windows, waarvan twee in de font library van het besturingssysteem zaten, om twee sandbox escapes te doen. Voor Android werd een al bekende exploit gebruikt om een privilege escalation uit te voeren. De zeroday in Chrome, CVE-2020-6418, zat in de TurboFan-component en is in februari vorig jaar gerepareerd. De kwetsbaarheden in Windows waren kwetsbaarheden in de Adobe Type Manager Font Driver. Dat waren CVE-2020-0938 en CVE-2020-1020. Er zat ook een buffer overflow-kwetsbaarheid in CSRSS, CVE-2020-1027. Die laatste drie zijn gerepareerd in april.

De aanvallers kwamen binnen via iframes op websites. Daarna werd er gebruik gemaakt van een zeroday in Chrome, waarbij op Windows ook eerst zeroday werd gebruikt om uit die sandbox te ontsnappen. Vervolgens werd er een privilege escalation uitgevoerd waardoor een payload kon worden geïnstalleerd op een systeem.

Google zag een aantal opvallende aspecten aan de malware. Zo was er het feit dat de aanvallers logging toevoegden aan de Android-malware. Daarbij werd er gedetailleerde informatie naar de command-and-controlservers gestuurd als er errors voorkwamen bij het uitvoeren van de malware. Google zegt dat de aanvallers zo geavanceerd waren dat ze hoogstwaarschijnlijk ook toegang hadden tot zerodays op Android, maar die zijn de onderzoekers niet tegengekomen. Het bedrijf zegt ook niet tegen wie de aanvallen gericht waren en wie erachter zit.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Tijs Hofmans

Redacteur privacy & security

13-01-2021 • 11:08

23 Linkedin

Reacties (23)

Wijzig sortering
Ik vidn het het wel james bond achtig als ik dit lees. Volgens mij moet je enorm veel technische kennis hebben om dit te kunnen. Ik vraag mij af of je als programmeur dan niet heel veel geld zou kunnnen verdienen bij software bedrijven, of betalen deze bedrijven zo slecht dat deze slimme gasten maar de illigaliteit in gaan? De slimme programmeurs in mijn omgeving verdienen goed, maar het beste verdienen hun managers en non technical collega's.
Dit soort geavanceerde hacks worden vaak in opdracht van overheden gedaan, in plaats van in opdracht voor criminele organisaties.
Dit soort geavanceerde hacks worden vaak in opdracht van overheden gedaan, in plaats van in opdracht voor criminele organisaties.
En natuurlijk zit er overlap tussen die twee types werkgever...
Bedrijven betalen vaak goed (het blijft tenslotte een goed verdienende branche met te weinig mensen die er willen werken, en bedrijven willen niet dat je na een halfjaartje naar de concurrent gaat omdat die meer biedt), maar er is vaak meer te verdienen door dit soort trucjes uit te halen. Het is een morele afweging eerder, en dan nog of het geld de kans op consequenties waard is.

Als je echt de juiste kennis en certificaten hebt kan je vrij zeker meer verdienen dan je manager etc; een maat van mij is 1 van de X (geloof 10 of minder) met een specifiek CISCO certificaat en die is direct na zijn studie begonnen voor een flink hoog bedrag, een stuk hoger dan de "normale" afstudeerder zou verdienen. Het exacte bedrag heb ik niet van hem gehoord, maar het leek te gaan om een verdubbeling of meer. Het ligt allemaal aan wat je kan en of je bedrijf er wat mee doet.

[Reactie gewijzigd door JH34D op 13 januari 2021 11:28]

Er is vrij weinig James Bond achtigs aan. Exploit development is gewoon een vorm van engineering en vooral veel en hard werken. Het betaald wel vrij goed, maar dat doet een baan bij een FAANG company ook. Het is alleen wel echt een andere skillset dan "gewoon" programmeur zijn.

Veel van dit soort werk is trouwens helemaal niet illegaal perse. Ik ken de nodige bedrijven die dit gewoon legaal doen en zich aan de geldende (strenge) wetgeving (Wassenaar agreement etc.) houden. Hun klanten zitten in de intelligence en forensische hoek. Meer hoef ik dan neem ik aan niet uit te leggen ;)
Er is vrij weinig James Bond achtigs aan. Exploit development is gewoon een vorm van engineering en vooral veel en hard werken.
Dit. Veel lezen, leren, hard werken, vallen en weer opnieuw.
Gaandeweg doe je enorm veel kennis op van programmeren, software, netwerken, netwerk hardware, encryption, processor logic, hardware, authenticatie mechanismes, etc.. maar ook veel toewijding en doorzettingsvermogen. Kwaliteiten waar bepaalde werkgevers graag voor willen belonen.
ik doe de aanname dat het type persoon dat programmeur is, niet supergoed is in salaris onderhandelingen, en het type dat manager wordt, hier beter in is.

En wellicht dat de programmeurs er al langer werken en dus minder snel switchen van werk waar vaak ook weer een loonsverhoging door komt.
Voor de mensen die denken dat je systeem niet volledig over genomen kan worden door alleen maar op een link te klikken :)
Tjah Android is ook gebaseerd op de linux kernel...
Kernel is een ding, maar de gebruiksschil eromheen is vaak makkelijker aan te vallen.
En het zijn just de tools die root rechten geven waar je wat mee wil, of services die onder root draaien...
In een telefoon de Android schil dus... bij gebrek aan services met privileges.
Maakt niet uit, het is chrome en die is ook voor linux beschikbaar.
Het is dat ze de osexploits er nog niet bij hebben.
Zeer interessant om te lezen, dit is toch wel het echte werk, indrukwekkend, al zijn de bedoelingen waarschijnlijk niet goed natuurlijk, dit is toch wel het ''echte'' hacken.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True