Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Google publiceert details over geavanceerde hack met vier zerodays

Google heeft details vrijgegeven over een aanval die bijna een jaar geleden plaatsvond op Android- en Windows-apparaten. De aanvallers maakten daarbij gebruik van verschillende zerodays en bekende kwetsbaarheden, waaronder een sandbox escape en een privilege escalation.

Details over de hack staan in een zesdelige blogpostserie van Googles Project Zero-team. Die beschrijft een gerichte aanval via een watering hole, waarbij een domein dat een slachtoffer vaak gebruikt of bezoekt wordt geïnfecteerd met malware. Het zou gaan om een geavanceerde aanval waarbij de hackers complexe code gebruiken en veel verschillende soorten exploits inzetten. Ook wisten de aanvallers detectietechnieken te omzeilen.

Bij de aanval misbruikten de hackers vier bugs in Google Chrome, waarvan één een zeroday was. Ook gebruikten ze drie zerodays in Windows, waarvan twee in de font library van het besturingssysteem zaten, om twee sandbox escapes te doen. Voor Android werd een al bekende exploit gebruikt om een privilege escalation uit te voeren. De zeroday in Chrome, CVE-2020-6418, zat in de TurboFan-component en is in februari vorig jaar gerepareerd. De kwetsbaarheden in Windows waren kwetsbaarheden in de Adobe Type Manager Font Driver. Dat waren CVE-2020-0938 en CVE-2020-1020. Er zat ook een buffer overflow-kwetsbaarheid in CSRSS, CVE-2020-1027. Die laatste drie zijn gerepareerd in april.

De aanvallers kwamen binnen via iframes op websites. Daarna werd er gebruik gemaakt van een zeroday in Chrome, waarbij op Windows ook eerst zeroday werd gebruikt om uit die sandbox te ontsnappen. Vervolgens werd er een privilege escalation uitgevoerd waardoor een payload kon worden geïnstalleerd op een systeem.

Google zag een aantal opvallende aspecten aan de malware. Zo was er het feit dat de aanvallers logging toevoegden aan de Android-malware. Daarbij werd er gedetailleerde informatie naar de command-and-controlservers gestuurd als er errors voorkwamen bij het uitvoeren van de malware. Google zegt dat de aanvallers zo geavanceerd waren dat ze hoogstwaarschijnlijk ook toegang hadden tot zerodays op Android, maar die zijn de onderzoekers niet tegengekomen. Het bedrijf zegt ook niet tegen wie de aanvallen gericht waren en wie erachter zit.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Tijs Hofmans

Redacteur privacy & security

13-01-2021 • 11:08

23 Linkedin

Reacties (23)

Wijzig sortering
De markt in zero day exploits, is huge. Overheden en andere instanties zitten maar al te graag te wachten op exploits tegen hoge betaling(en). Als je er eentje hebt waarmee je een Iphone device, Android, Windows PC met Chrome kunt doorbreken, je kijkt tegen miljoenen dollars aan.
buiten het feit dat dit ook door overheden en bedrijven wordt gedaan zijn er in dit geval natuurlijk nog de criminele organisaties die over een berg geld beschikken. Het makkelijkste voorbeeld zijn drugskartels die tientallen miljarden hebben en een programmeur een miljoentje of meer geven om bvb patrouilleroutes te achterhalen.
Er zijn wereldwijd een paarhonderd experts die dit vanaf scratch kunnen bedenken, een aantal (tien)duizenden die het idee tot een werkende exploit kunnen maken, en miljoenen die zo'n exploit kit kunnen installeren.
Voor wie zulke verhalen interessant vindt, ik vond dit ook erg indrukwekkend.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True