Nederlandse hackers vinden kwetsbaarheid in Zoom tijdens Pwn2Own-hackwedstrijd

Nederlandse hackers Daan Keuper en Thijs Alkemade hebben een kwetsbaarheid in Zoom ontdekt tijdens Pwn2own. Met deze kwetsbaarheid kunnen de systemen van Zoom-gebruikers worden overgenomen. De hackers ontvangen 200.000 dollar voor de ontdekking.

Keuper en Alkemade, die werken voor cybersecuritybedrijf Computest, combineerden drie kwetsbaarheden om op afstand code op een systeem uit te voeren tijdens de tweede dag van de Pwn2Own-competitie. De kwetsbaarheden vereisen geen interactie van het slachtoffer. De organisatie van Pwn2Own publiceerde op woensdag een gif van de kwetsbaarheid in actie.

De kwetsbaarheid zit in de Windows- en macOS-versies van Zoom. De browserversie van het videobelplatform kampt niet met de kwetsbaarheid. Het is nog niet duidelijk of de iOS- en Android-apps ook kwetsbaar zijn; Keuper en Alkemade hebben daar geen onderzoek naar gedaan, vertelt het duo in een interview met RTL Nieuws.

De kwetsbaarheid is op het moment van schrijven nog niet gedicht. Keuper en Alkemade maken hierom geen details bekend over de werking van de kwetsbaarheid. Keuper vertelt tegenover RTL dat gebruikers zich vooralsnog geen zorgen hoeven te maken: "Zoom krijgt negentig dagen om het te dichten, maar ik verwacht dat dat veel sneller gebeurt." Alkemade en Keuper zijn naar eigen zeggen twee maanden bezig geweest met hun onderzoek naar de kwetsbaarheid, meldt RTL Nieuws.

Pwn2Own is een hackwedstrijd die ieder jaar wordt gehouden in Vancouver. Dit jaar mogen hackers ook vanuit huis deelnemen vanwege de coronapandemie. Tijdens de wedstrijd worden ethische hackers uitgedaagd om kwetsbaarheden in bepaalde software te vinden. Succesvolle pogingen worden beloond met een geldbedrag, dat afhankelijk is van de software waarin de kwetsbaarheid wordt gevonden.

Dit jaar wordt voor het eerst communicatiesoftware die wordt gebruikt voor thuiswerken op de proef gesteld. Hieronder vallen Zoom en Microsoft Teams. Het prijzengeld in deze categorie bedraagt 200.000 dollar, wat omgerekend neerkomt op ongeveer 168.000 euro. Adobe doet dit jaar ook voor het eerst mee aan de hackwedstrijd; deelnemers worden uitgedaagd om kwetsbaarheden in Adobe Reader te vinden. Pwn2Own 2021 loopt tot en met donderdag 8 april.

Reacties (69)

Jonathan-458 7 april 2021 21:27

Ik moet zeggen dat ik het een beetje jammer vindt dat Tweakers zo weinig aandacht besteed aan Pwn2Own en alleen Zoom nu noemt.

Zijn namelijk meer note-worty exploits gevonden zoals bijv. die in Exchange, Teams, Safari, Windows, Parallels, etc

Zie: Security Week

Voor de gene welke dit willen volgen, dit kan op:
https://www.secwest.net/ of Youtube

En voor de lijst met advisories:
https://www.zerodayinitiative.com/advisories/published/

De vulnerabilities worden pas in meer detail openbaar gemaakt als er iets tegen gedaan kan worden, een redelijk termijn is verstreken of dit samen gecoördineerd wordt met de betrokken partijen.

[Reactie gewijzigd door Jonathan-458 op 22 juli 2024 20:35]

SinergyX @Jonathan-458 • 7 april 2021 21:37

Ik kreeg alleen wat heisa mee rond die team Veittel (viettel?) over een exploit die de dag ervoor gebruikt was bij exchange, maar dat blijkbaar het team van de dag ervoor 'voorgedrongen' had om deze exploit te tonen? Precies weet ik het niet, was tijdens een stream van iemand die wat code zat te schrijven die dat spul op de achtergrond aan had staan.

Jonathan-458 @SinergyX • 7 april 2021 21:45

Heb dat niet meegekregen.

Daoka @Jonathan-458 • 7 april 2021 22:10

Misschien had Tweakers meer aandacht kunnen besteden aan de hele wedstrijd. Maar ik denk dat dit artikel vooral is omdat Nederlanders de kwetsbaarheid hadden gevonden.

418O2 @Jonathan-458 • 7 april 2021 22:14

Je kan het zelf submitten hè.

De redactie kan niet alles volgen natuurlijk

segil @418O2 • 8 april 2021 08:13

Ze hebben toch nieuws gebracht over deze compo?

Horatius @segil • 8 april 2021 11:04

En deze is toch gesubmit door een lezer van Tweakers?

tom.cx @Jonathan-458 • 8 april 2021 07:28

Als je meer diepgang wilt op security kan je beter op security.nl kijken. Daar komt nieuws voorbij waarvan ik verbaasd ben dat Tweakers het niet plaatst.

Batje4 @tom.cx • 8 april 2021 09:00

Helemaal mee eens. Voor de echte inhoud moet je niet meer bij Tweakers zijn, maar op de inhoudelijke websites. Tweakers was ooit een platform voor tweakers en techies, en is langzamerhand verschoven naar een general techie interest nieuwssite.
Jammer en helaas.

bbob @Jonathan-458 • 8 april 2021 09:35

Ik moet zeggen dat ik het een beetje jammer vindt dat Tweakers zo weinig aandacht besteed aan Pwn2Own en alleen Zoom nu noemt.

Welkom bij het nieuwe tweakers. Pwn2Own is voor de oude tweaker, het nieuwe tweakers is massa markt, hapklare begrijpelijke brokken. zoom is sinds corona populair dus dat scoort goed met kliks. Tweakers moet uiteindelijk met kliks geld verdienen.

segil @Jonathan-458 • 8 april 2021 08:18

Wat ik vooral frappant vindt, is dat deze een interview geven aan RTL Nieuws en niet aan Tweakers. Dat zou toch het toonaangevende IT technologie website van Nederland moeten zijn?

Batje4 @segil • 8 april 2021 09:02

Heeft Tweakers contact gezocht dan? Geen idee.

dasiro 7 april 2021 21:39

ik blijf het een vreemde benaming vinden, want "wedstrijd" wil zeggen dat er een competitie is en een winnaar + verliezers die potentiële winnaars waren. Dit is eerder een voorbereide bughunt + showcase of een reward-program.

_Pussycat_ @dasiro • 8 april 2021 03:04

Titel van het artikel is ook misleidend. Ze presenteerden een kwetsbaarheid, gevonden hebben ze hem al van tevoren. Hier wordt geschreven alsof ze allemaal achter hun pc keihard aan het hacken zijn de hele nacht met blikjes redbull naast het toetsenbord, en de eerste die iets gehackt heeft schreeuwt "ik heb 'em!"

kuurtjes @dasiro • 7 april 2021 22:11

Ik heb inderdaad al gelezen dat er exploits worden achtergehouden om ze hier te onthullen.

jaenster

@kuurtjes • 7 april 2021 22:37

https://darknetdiaries.com/episode/82/

Hier is er een stuk meer informatie over =)

Jarrean @jaenster • 8 april 2021 07:54

Grote tip voor iedereen die dit interessant vind, diepe inhoudelijke kennis is niet persé nodig.

Martijn033 @kuurtjes • 8 april 2021 10:40

Als je daarmee zoveel geld ($200.000) kunt verdienen, kan ik me daar iets bij voorstellen.

Maurits van Baerle @dasiro • 8 april 2021 07:55

Het is ook een beetje vreemd. Net zoals van die koppen als “XYZ binnen 93 seconden gekraakt tijdens Pwn2Own hackwedstrijd”.

Ja, het uitvoeren van de exploit kost 93 seconden. Het vinden ervan duurde elf weken.

AlRoke 7 april 2021 22:35

Ergens weer een fijne herinnering dat je geen software moet installeren, maar gewoon alles wat ook maar enigszins logisch is om in de browser te draaien in de browser te draaien. De kwaliteit van de browser sandbox is simpelweg erg goed ondertussen. Ik zie soms mensen die zaken zoals email clients, chat clients, pdf lezers, tekst editors en muziek spelers allemaal lokaal installeren. Voor allemaal is er soms een reden om het lokaal te installeren, maar voor de meeste mensen is het gewoon geen goed idee. Moet wat dat betreft ook zeggen dat ik heel benieuwd ben naar Windows 10X en hoe zich dat zal verhouden tegenover Chrome OS.

Begrijp echt totaal niet waarom je zo iets als Zoom lokaal zou installeren terwijl er een web versie is. Meestal is het voordeel van een lokale installatie de potentiele decentralisatie en/of minder tracking, maar dat gaat bij zo iets als Zoom niet op.

[Reactie gewijzigd door AlRoke op 22 juli 2024 20:35]

DeDooieVent @AlRoke • 8 april 2021 00:01

Op outlook na is er echter geen bruikbare webapp die ik kan bedenken, allemaal waardeloos.Office is als webapp volkomen onruikbaar, echt een nuttleoze toevoeging aan O365, ze hadden beter excel weer MDI in plaats van SDI kunnen maken met al die effort.

"u gebruikt valideren, dat gaat dus niet lukken, openen in desktop app?"

"wat vond u van de web app?"

"klik op ok"

wat een bende

AlRoke @DeDooieVent • 8 april 2021 00:12

Ik zit momenteel op werk vast aan Word 2016, dus weet oprecht niet hoeveel er is verbeterd in de tussentijd, maar als ik Word 2016 vergelijk met bijvoorbeeld Google Docs dan begin ik oprecht de laatste te prefereren.

Voor chat en calls gebruik ik messenger.com, web.telegram.org, duo.google.com en meet.google.com.

Voor muziek heb je gewoon zowel de youtube music als spotify browser opties, en verder heb je ook steeds betere PWA standalone audo spelers voor lokale bestanden.

Voor bijna alles zijn er goede opties.

DeDooieVent @AlRoke • 8 april 2021 06:32

Als je googledocs boven word prefereert is dat helemaal prima natuurlijk, maar dat houdt in dat je nog geen 10% van de functie's van msWord gebruikt. Voor dat soort users is een webapp inderdaad prima, maar zo gauw je te maken krijgt met slime velden en automatische documentgeneratie op basis van verschillende invoerstromen dan is om het even welke webapp gewoon volkomen onbruikbaar.

De webapps zijn leuk voor huis tuin en keuken gebruik maar absoluut ongeschikt voor een profesionele omgeving.

Altijd wel mooi hoe IT-ers proberen webapps als valide alternatieven te suggereren, ik bid dan ook dat Visual Studio weldra een webapp is, dan is die modegrill ook snel weer voorbij, echt nogmaals, wat een waardeloze rotzooi, en echt elke webapp met professionele aspiraties, onbruikbare rotzooi

AlRoke @DeDooieVent • 8 april 2021 16:25

Werk nu bij een gigantische corporatie en heb nog geen gebruik van Word gezien dat niet ook gewoon kon met google Docs. Letterlijk de enigste Word-only functie die ik heb gezien gebruikt worden is hidden text... en die vergeten colleagas altijd aan te zetten, dus dan gaat het alsnog vaak mis.

Heb zeker het idee dat Word in theorie veel meer functies bevat die Google Docs mist, maar in de praktijk voor kantoor gebruik zijn dat simpelweg niet nuttige functies. Mail merge is bijv. zo'n ding dat in theorie geweldig lijkt, maar in de praktijk is het voor bijna iedereen of te complex of te risicovol (je gaat niet naar honderden mensen facturen sturen met een mail merge, want je wilt daar geen menselijke factor in hebben, dus je hebt daar dedicated software voor).

Maar hoofdreden waarom ik Word meer en meer niet kan uitstaan is vanwege het aantal 'corrupte' documenten. Recent kwam m'n bedrijf met een nieuwe template voor functionele specificaties... en op de een of andere manier was het ze gelukt om headers te hebben die wel door de navigation pane en reference dialog als headers werden gezien, maar niet door de nummering en style selection. En dat is maar 1 voorbeeld en ook nog eens een nieuw schoon document, met oude documenten die al jarenlang worden geupdate is het allemaal vaak nog erger.

En wat betreft code editors, visual studio code is momenteel de meest populaire editor, en die draait gewoon perfect in de browser want het is technisch gewoon een web app die je lokaal draait via electron. https://visualstudio.micr...rvices/github-codespaces/ is bijv. 1 van de situaties waar je hem in de browser draait. Heb half jaar geleden er een demo van geprobeert en werkt gewoon perfect. Grootste vraag daarbij is waar je je dev environment wilt draaien en in de traditionele dev aanpak is dat gewoon lokaal, maar met containers en alles wat daar bij komt kijken kan dat net zo goed in de cloud zijn. Durf wat dat betreft niet te stellen wat de voordelen en nadelen zullen zijn, behalve natuurlijk security.

DeDooieVent @AlRoke • 8 april 2021 16:53

Dat kan, mijn ervaring is anders, en ik werk dan wel niet voor een gigantische cooporatie maar een technisch adviesbureau met vestigingen over meerdere landen en wij hebben een naadloze integratie van excel en word als frontend die gewoon onmogelijk is met de huidige staat van de geboden webopties. De mogelijkheden van O365 webapps liggen ver beneden die van office97 om maar iets te noemen. Verwijs voor de lol eens naar een ander workbook, succes.

dasiro @AlRoke • 8 april 2021 20:53

ik heb het hier al een paar keer geschreven: Microsoft ontwikkelt software voor een héél breed publiek en biedt die producten dan als geheel aan. Functies die misschien 10 van de mensen gebruiken (macro's en pivot-tables zijn daar een héél mooi voorbeeld van, maar bvb ook conditionele opmaak) zitten daardoor in producten die door de meesten amper gekend zijn, laat staan gebruikt.

AlRoke @dasiro • 9 april 2021 15:54

Maar dat is het ding, macro's, pivot tables en conditional formatting zijn nog steeds de normale functies die je ook gewoon in Google Docs en Google Sheets zult vinden. De functies die missen zijn veel en veel specifieker. En ze zijn er echt wel (voor iedere unieke functie in Google's oplossing zijn er 10 unieke functies in Office), maar ik heb liever stabielere software met minder nice-to-have extra functies 😅 .

Stijnvi @DeDooieVent • 8 april 2021 00:46

Het enige wat echt goed draait in de browser zijn Google diensten en streaming diensten, precies dat waar geen Windows applicatie voor is.
Ik merk echt dat bijna alles waar een echte applicatie voor is dramatisch werkt als website

_Pussycat_ @Stijnvi • 8 april 2021 03:06

WhatsApp Web is in elk geval goed. Zoom en WebEx ook.

Daoka @AlRoke • 8 april 2021 06:11

Als je de programma lokaal heb hoef je geen internet te hebben. Ja zonder internet heb je ook niets aan Zoom. Maar bijvoorbeeld de mediaplayer kan prima zonder internet tenzij je speciaal van internet gaat streamen.

De websites missen bepaalde functies die een programma misschien wel heeft. Of dat je daarvoor een andere programma kiest die misschien geen internet versie heeft.

Vaak moeten mensen inloggen op de website waar vaak genoeg de programma dubbelklikken is en werken maar.

Ik ken mensen die bijvoorbeeld niet weten hoe ze meerdere tabbladen/vensters kunnen openen maar wel weten hoe ze bijvoorbeeld internet en een muziek programma kunnen openen tegelijk.

En deze mensen weten meestal ook niet hoe favorieten werkt of hoe ze websites links of hun desktop kunnen krijgen. Dus die moeten vaak "moeilijk" doen om bij de websites te komen. Programma installeren meestal standaard de icoontje of de desktop of startmenu die ze wel makkelijk kunnen vinden.

Ook ik ben trouwens iemand die liever programma's heeft voor bepaalde dingen. Nu zullen dingen best verbeterd zijn maar vaak genoeg als me webmail een docx of pdf bestand opende had ik vaak toch veel nadelen. Hadden ze hun eigen viewer gemaakt die er weer anders eruit zag als weer andere viewers. Of was een word document alleen lezen en kon die dus evengoed nog opslaan om het te bewerken. Vaak was ik dan langer op zoek naar bepaalde functies die ik in de programma's blindelings kon vinden. Of bleek dat die optie er niet bij zat. 2x dezelfde bestand openen ging ook veel makkelijker toen. Of sloot je perongeluk de pagina en kon je de bestand weer opzoeken waar ik lokaal de belangrijkste bestanden zelf op me desktop terug kan vinden. Door zulke situaties heb ik geen hoge per van bestanden in de browser te gebruiken. Al was dit lang geleden dus zal het zeker wel beter geworden zijn. Maar het zit gewoon nog ergens in me achterhoofd waardoor programma's beter aanvoelen.

hackerhater @AlRoke • 8 april 2021 10:16

Zover ik weet heb je als presenter de desktop versie nodig van Zoom.

telenut @AlRoke • 8 april 2021 10:51

eigenlijk wil je zeggen: schakel allen over op Chromebooks :-)
En ik moet u nog grotendeels gelijk geven ook dan ;-)

hierbij kan ik wel melden: de Zoom web client is veel beperkter. geen achtergrondfilters. Remote camera control, en vooral: de polls werken niet!

Fraaank @telenut • 8 april 2021 11:10

Dus eigenlijk moet ik niet over naar een Chromebook als ik een beetje professioneel wil presenteren tijdens een conference?

telenut @Fraaank • 8 april 2021 12:25

Je kan de android client er ook op zetten, daar werkt dit wel mee :-)
Das nog het voordeel aan een chromebook, je kan er ook Android apps op zetten.
Maar dat alles via het web even goed werkt als met een client is dus niet het geval.
Ik gebruik wel degelijk mijn chromebook ook veel voor meetings dus ;-)
En als je professioneel wil presenteren, gebruik dan aub geen filter....

svenk91 8 april 2021 00:28

Niet dat ik ooit over problemen hierdoor heb gehoord, maar is het wel verstandig om de naam te delen van zulke hackers voor het lek is gedicht/de hack openbaar is? Iets zegt mij dat zo'n exploit voor sommige organisaties/landen best waardevol is, en je geeft ze nu een duidelijk target voor hackers/spionage.

Er zal maar eens iemand zo'n exploit iets al te graag willen, en dan kan het goed misgaan.

Stijnvi @svenk91 • 8 april 2021 00:50

De vulnerability is al gemeld aan Zoom
En aangezien deze nog niet is opgelost en ze nog vinnen de gebruikelijke 90 dagen termijn zitten om het op te lossen worden er dus ook geen details gegeven
Als dit echt enorm waardevol zou zijn voor iemand was die er waarschijnlijk al mee bezig om een vulnerability te vinden, en is deze informatie dus nutteloos
Pas als de details worden vrijgegeven wordt het een probleem

Elidibus 8 april 2021 07:34

Hoewel ik erg blij ben dat dit soort issues nu naar boven komen, blijf ik me toch verbazen dat ze dit altijd zo snel naar buiten brengen. Non-ethische hackers gaan nu toch juist hiernaar op zoek? Waarom niet gewoon de 90 dagen afwachten om dit soort nieuws dan naar buiten te brengen? Ik heb het idee dat ze hier veel onnodige slachtoffers mee maken.

Belgar @Elidibus • 8 april 2021 10:20

Non-ethische hackers gaan sowieso op zoek naar dit soort lekken en meer dan dat er een lek is weet je nu ook niet.

Ik bedoel, wat weet je nu? Er is een lek in Zoom en het is een RCE. Ik zou zeggen: good luck. Het is niet dat ze vertellen hoe de exploit werkt of zelfs waar het probleem in de software zit.

Elidibus @Belgar • 8 april 2021 10:59

In ieder stuk software zit een kwetsbaarheid en daar wordt inderdaad naar gezocht. Maar als je nu als hacker niet specifiek op Zoom focust, zou je dat met dergelijke berichten wel kunnen doen, omdat kennelijk de kans dat je daar nu een kwetsbaarheid in vind groot is.

Beetje hetzelfde als je weet dat de sleutel van de buren in een nep steen verstopt ligt, misschien was je nog niet actief op zoek, maar nu je het zeker weet wel...

Belgar @Elidibus • 9 april 2021 09:09

Bij deze wedstrijd worden categorieën, onder andere, bepaald door aanvalsoppervlakte en focus van bekende black hat operaties. Dit jaar was dat, voor het eerst, communicatiesoftware. Juist omdat het dit jaar extra kritisch is en er veel aanvallen zijn gedaan op zulke software.

ZOOM hoeft niet mee te doen! ze kiezen daarvoor om het vertrouwen in hun producten uiteindelijk te vergroten, vooral na een aantal PR disasters vorig jaar.

Electric Vibes 7 april 2021 21:32

Is de Linux desktop client ook kwetsbaar?

MrMarcie @Electric Vibes • 7 april 2021 21:52

Precies, apart dat die niet genoemd wordt. Die gebruik ik namelijk. En velen met mij neem ik aan.

jvnknvlgl @MrMarcie • 7 april 2021 23:59

Volgensmij is de cliënt op Windows en macOS native, terwijl ze op Linux gewoon de browserversie verpakken op Electron. Aangezien de browserversie ook niet expliciet genoemd is lijkt dit wel plausibel.

ZwolschBalletje @jvnknvlgl • 8 april 2021 07:52

Jawel, de browserversie wordt wel expliciet genoemd: die is niet kwetsbaar voor het lek dat zij gevonden hebben. Dan mag je dus aannemen dat de Linux client ook niet getroffen is.

De browserversie van het videobelplatform kampt niet met de kwetsbaarheid.Het is nog niet duidelijk of de iOS- en Android-apps ook kwetsbaar zijn

[Reactie gewijzigd door ZwolschBalletje op 22 juli 2024 20:35]

PhoenixT @jvnknvlgl • 8 april 2021 08:24

Alsnog vermoed ik dat ze “gewoon” een Electron bug hebben gevonden, zoals wel vaker met Electron apps.

robbe 7 april 2021 22:41

Paar keer er bij mogen zijn. Pwn2Own evenementen zijn altijd supper interessant en elk jaar komen er wel interessante bugs/hacks naar voren die dan gelukkig daarna ook direct gepatched worden. Veel respect voor de mensen die hier aan mee doen. Er zijn een aantal teams die ieder jaar terug komen en iedere keer weer met iets verrassends voor de dag komen.

SuperDre

Hackers

7 april 2021 23:48

Alkemade en Keuper zijn naar eigen zeggen twee maanden bezig geweest met hun onderzoek naar de kwetsbaarheid, meldt RTL Nieuws.

Ik vind dat dan weer eigenlijk een beetje tegenstrijdig met

Tijdens de wedstrijd worden ethische hackers uitgedaagd om kwetsbaarheden in bepaalde software te vinden.

Want ze hebben die lekken dus niet ontdekt tijdens het Pwn2Own evenement.

Anoniem: 63672 7 april 2021 21:41

Hulde!

t_captain 8 april 2021 09:45

Het zou prettig zijn als het artikel zou melden hoe de exploit kan worden gebruikt.

Moet het slachtoffer bijvoorbeeld een bepaalde meeting joinen? Of is alleen het geinstalleerd zijn van zoom al voldoende om je systeeem in gevaar te brengen?

michelmau5 @t_captain • 8 april 2021 12:07

De kwetsbaarheden vereisen geen interactie van het slachtoffer.

t_captain @michelmau5 • 8 april 2021 12:10

Dat kan nog twee dingen zijn:

1. "geen interactie, terwijl Zoom actief is" (remote code execution via actieve Zoom sessie waarin slachtoffer samen met de aanvaller zit)

2. "geen interactie terwijl Zoom alleen geinstalleerd is".

Op dit item kan niet meer gereageerd worden.

Nederlandse hackers vinden kwetsbaarheid in Zoom tijdens Pwn2Own-hackwedstrijd

Lees meer

Daan Keuper en Thijs Alkemade

Reacties (69)

Sorteer op:

Weergave: