Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Google publiceert details over geavanceerde hack met vier zerodays

Google heeft details vrijgegeven over een aanval die bijna een jaar geleden plaatsvond op Android- en Windows-apparaten. De aanvallers maakten daarbij gebruik van verschillende zerodays en bekende kwetsbaarheden, waaronder een sandbox escape en een privilege escalation.

Details over de hack staan in een zesdelige blogpostserie van Googles Project Zero-team. Die beschrijft een gerichte aanval via een watering hole, waarbij een domein dat een slachtoffer vaak gebruikt of bezoekt wordt geïnfecteerd met malware. Het zou gaan om een geavanceerde aanval waarbij de hackers complexe code gebruiken en veel verschillende soorten exploits inzetten. Ook wisten de aanvallers detectietechnieken te omzeilen.

Bij de aanval misbruikten de hackers vier bugs in Google Chrome, waarvan één een zeroday was. Ook gebruikten ze drie zerodays in Windows, waarvan twee in de font library van het besturingssysteem zaten, om twee sandbox escapes te doen. Voor Android werd een al bekende exploit gebruikt om een privilege escalation uit te voeren. De zeroday in Chrome, CVE-2020-6418, zat in de TurboFan-component en is in februari vorig jaar gerepareerd. De kwetsbaarheden in Windows waren kwetsbaarheden in de Adobe Type Manager Font Driver. Dat waren CVE-2020-0938 en CVE-2020-1020. Er zat ook een buffer overflow-kwetsbaarheid in CSRSS, CVE-2020-1027. Die laatste drie zijn gerepareerd in april.

De aanvallers kwamen binnen via iframes op websites. Daarna werd er gebruik gemaakt van een zeroday in Chrome, waarbij op Windows ook eerst zeroday werd gebruikt om uit die sandbox te ontsnappen. Vervolgens werd er een privilege escalation uitgevoerd waardoor een payload kon worden geïnstalleerd op een systeem.

Google zag een aantal opvallende aspecten aan de malware. Zo was er het feit dat de aanvallers logging toevoegden aan de Android-malware. Daarbij werd er gedetailleerde informatie naar de command-and-controlservers gestuurd als er errors voorkwamen bij het uitvoeren van de malware. Google zegt dat de aanvallers zo geavanceerd waren dat ze hoogstwaarschijnlijk ook toegang hadden tot zerodays op Android, maar die zijn de onderzoekers niet tegengekomen. Het bedrijf zegt ook niet tegen wie de aanvallen gericht waren en wie erachter zit.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Tijs Hofmans

Redacteur privacy & security

13-01-2021 • 11:08

23 Linkedin

Reacties (23)

Wijzig sortering
Dit soort geavanceerde hacks worden vaak in opdracht van overheden gedaan, in plaats van in opdracht voor criminele organisaties.
Bedrijven betalen vaak goed (het blijft tenslotte een goed verdienende branche met te weinig mensen die er willen werken, en bedrijven willen niet dat je na een halfjaartje naar de concurrent gaat omdat die meer biedt), maar er is vaak meer te verdienen door dit soort trucjes uit te halen. Het is een morele afweging eerder, en dan nog of het geld de kans op consequenties waard is.

Als je echt de juiste kennis en certificaten hebt kan je vrij zeker meer verdienen dan je manager etc; een maat van mij is 1 van de X (geloof 10 of minder) met een specifiek CISCO certificaat en die is direct na zijn studie begonnen voor een flink hoog bedrag, een stuk hoger dan de "normale" afstudeerder zou verdienen. Het exacte bedrag heb ik niet van hem gehoord, maar het leek te gaan om een verdubbeling of meer. Het ligt allemaal aan wat je kan en of je bedrijf er wat mee doet.

[Reactie gewijzigd door JH34D op 13 januari 2021 11:28]

Tjah Android is ook gebaseerd op de linux kernel...
Kernel is een ding, maar de gebruiksschil eromheen is vaak makkelijker aan te vallen.
En het zijn just de tools die root rechten geven waar je wat mee wil, of services die onder root draaien...
In een telefoon de Android schil dus... bij gebrek aan services met privileges.
Maakt niet uit, het is chrome en die is ook voor linux beschikbaar.
Het is dat ze de osexploits er nog niet bij hebben.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True