Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Nederlandse hackers vinden kwetsbaarheid in Zoom tijdens Pwn2Own-hackwedstrijd

Nederlandse hackers Daan Keuper en Thijs Alkemade hebben een kwetsbaarheid in Zoom ontdekt tijdens Pwn2own. Met deze kwetsbaarheid kunnen de systemen van Zoom-gebruikers worden overgenomen. De hackers ontvangen 200.000 dollar voor de ontdekking.

Keuper en Alkemade, die werken voor cybersecuritybedrijf Computest, combineerden drie kwetsbaarheden om op afstand code op een systeem uit te voeren tijdens de tweede dag van de Pwn2Own-competitie. De kwetsbaarheden vereisen geen interactie van het slachtoffer. De organisatie van Pwn2Own publiceerde op woensdag een gif van de kwetsbaarheid in actie.

De kwetsbaarheid zit in de Windows- en macOS-versies van Zoom. De browserversie van het videobelplatform kampt niet met de kwetsbaarheid. Het is nog niet duidelijk of de iOS- en Android-apps ook kwetsbaar zijn; Keuper en Alkemade hebben daar geen onderzoek naar gedaan, vertelt het duo in een interview met RTL Nieuws.

De kwetsbaarheid is op het moment van schrijven nog niet gedicht. Keuper en Alkemade maken hierom geen details bekend over de werking van de kwetsbaarheid. Keuper vertelt tegenover RTL dat gebruikers zich vooralsnog geen zorgen hoeven te maken: "Zoom krijgt negentig dagen om het te dichten, maar ik verwacht dat dat veel sneller gebeurt." Alkemade en Keuper zijn naar eigen zeggen twee maanden bezig geweest met hun onderzoek naar de kwetsbaarheid, meldt RTL Nieuws.

Pwn2Own is een hackwedstrijd die ieder jaar wordt gehouden in Vancouver. Dit jaar mogen hackers ook vanuit huis deelnemen vanwege de coronapandemie. Tijdens de wedstrijd worden ethische hackers uitgedaagd om kwetsbaarheden in bepaalde software te vinden. Succesvolle pogingen worden beloond met een geldbedrag, dat afhankelijk is van de software waarin de kwetsbaarheid wordt gevonden.

Dit jaar wordt voor het eerst communicatiesoftware die wordt gebruikt voor thuiswerken op de proef gesteld. Hieronder vallen Zoom en Microsoft Teams. Het prijzengeld in deze categorie bedraagt 200.000 dollar, wat omgerekend neerkomt op ongeveer 168.000 euro. Adobe doet dit jaar ook voor het eerst mee aan de hackwedstrijd; deelnemers worden uitgedaagd om kwetsbaarheden in Adobe Reader te vinden. Pwn2Own 2021 loopt tot en met donderdag 8 april.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Daan van Monsjou

Nieuwsposter

07-04-2021 • 20:59

69 Linkedin

Submitter: juliank

Reacties (69)

Wijzig sortering
Ik moet zeggen dat ik het een beetje jammer vindt dat Tweakers zo weinig aandacht besteed aan Pwn2Own en alleen Zoom nu noemt.

Zijn namelijk meer note-worty exploits gevonden zoals bijv. die in Exchange, Teams, Safari, Windows, Parallels, etc

Zie: Security Week

Voor de gene welke dit willen volgen, dit kan op:
https://www.secwest.net/ of Youtube

En voor de lijst met advisories:
https://www.zerodayinitiative.com/advisories/published/

De vulnerabilities worden pas in meer detail openbaar gemaakt als er iets tegen gedaan kan worden, een redelijk termijn is verstreken of dit samen gecoördineerd wordt met de betrokken partijen.

[Reactie gewijzigd door Jonathan-458 op 7 april 2021 22:13]

Ik kreeg alleen wat heisa mee rond die team Veittel (viettel?) over een exploit die de dag ervoor gebruikt was bij exchange, maar dat blijkbaar het team van de dag ervoor 'voorgedrongen' had om deze exploit te tonen? Precies weet ik het niet, was tijdens een stream van iemand die wat code zat te schrijven die dat spul op de achtergrond aan had staan.
Misschien had Tweakers meer aandacht kunnen besteden aan de hele wedstrijd. Maar ik denk dat dit artikel vooral is omdat Nederlanders de kwetsbaarheid hadden gevonden.
Je kan het zelf submitten hè. ;) De redactie kan niet alles volgen natuurlijk
Als je meer diepgang wilt op security kan je beter op security.nl kijken. Daar komt nieuws voorbij waarvan ik verbaasd ben dat Tweakers het niet plaatst.
Ik moet zeggen dat ik het een beetje jammer vindt dat Tweakers zo weinig aandacht besteed aan Pwn2Own en alleen Zoom nu noemt.
Welkom bij het nieuwe tweakers. Pwn2Own is voor de oude tweaker, het nieuwe tweakers is massa markt, hapklare begrijpelijke brokken. zoom is sinds corona populair dus dat scoort goed met kliks. Tweakers moet uiteindelijk met kliks geld verdienen.
ik blijf het een vreemde benaming vinden, want "wedstrijd" wil zeggen dat er een competitie is en een winnaar + verliezers die potentiële winnaars waren. Dit is eerder een voorbereide bughunt + showcase of een reward-program.
Titel van het artikel is ook misleidend. Ze presenteerden een kwetsbaarheid, gevonden hebben ze hem al van tevoren. Hier wordt geschreven alsof ze allemaal achter hun pc keihard aan het hacken zijn de hele nacht met blikjes redbull naast het toetsenbord, en de eerste die iets gehackt heeft schreeuwt "ik heb 'em!"
Ik heb inderdaad al gelezen dat er exploits worden achtergehouden om ze hier te onthullen.
Het is ook een beetje vreemd. Net zoals van die koppen als “XYZ binnen 93 seconden gekraakt tijdens Pwn2Own hackwedstrijd”.

Ja, het uitvoeren van de exploit kost 93 seconden. Het vinden ervan duurde elf weken.
Ergens weer een fijne herinnering dat je geen software moet installeren, maar gewoon alles wat ook maar enigszins logisch is om in de browser te draaien in de browser te draaien. De kwaliteit van de browser sandbox is simpelweg erg goed ondertussen. Ik zie soms mensen die zaken zoals email clients, chat clients, pdf lezers, tekst editors en muziek spelers allemaal lokaal installeren. Voor allemaal is er soms een reden om het lokaal te installeren, maar voor de meeste mensen is het gewoon geen goed idee. Moet wat dat betreft ook zeggen dat ik heel benieuwd ben naar Windows 10X en hoe zich dat zal verhouden tegenover Chrome OS.

Begrijp echt totaal niet waarom je zo iets als Zoom lokaal zou installeren terwijl er een web versie is. Meestal is het voordeel van een lokale installatie de potentiele decentralisatie en/of minder tracking, maar dat gaat bij zo iets als Zoom niet op.

[Reactie gewijzigd door AlRoke op 7 april 2021 22:37]

Op outlook na is er echter geen bruikbare webapp die ik kan bedenken, allemaal waardeloos.Office is als webapp volkomen onruikbaar, echt een nuttleoze toevoeging aan O365, ze hadden beter excel weer MDI in plaats van SDI kunnen maken met al die effort.

"u gebruikt valideren, dat gaat dus niet lukken, openen in desktop app?"

"wat vond u van de web app?"

"klik op ok"

:')

wat een bende
Ik zit momenteel op werk vast aan Word 2016, dus weet oprecht niet hoeveel er is verbeterd in de tussentijd, maar als ik Word 2016 vergelijk met bijvoorbeeld Google Docs dan begin ik oprecht de laatste te prefereren.

Voor chat en calls gebruik ik messenger.com, web.telegram.org, duo.google.com en meet.google.com.

Voor muziek heb je gewoon zowel de youtube music als spotify browser opties, en verder heb je ook steeds betere PWA standalone audo spelers voor lokale bestanden.

Voor bijna alles zijn er goede opties.
Als je googledocs boven word prefereert is dat helemaal prima natuurlijk, maar dat houdt in dat je nog geen 10% van de functie's van msWord gebruikt. Voor dat soort users is een webapp inderdaad prima, maar zo gauw je te maken krijgt met slime velden en automatische documentgeneratie op basis van verschillende invoerstromen dan is om het even welke webapp gewoon volkomen onbruikbaar.

De webapps zijn leuk voor huis tuin en keuken gebruik maar absoluut ongeschikt voor een profesionele omgeving.

Altijd wel mooi hoe IT-ers proberen webapps als valide alternatieven te suggereren, ik bid dan ook dat Visual Studio weldra een webapp is, dan is die modegrill ook snel weer voorbij, echt nogmaals, wat een waardeloze rotzooi, en echt elke webapp met professionele aspiraties, onbruikbare rotzooi
Werk nu bij een gigantische corporatie en heb nog geen gebruik van Word gezien dat niet ook gewoon kon met google Docs. Letterlijk de enigste Word-only functie die ik heb gezien gebruikt worden is hidden text... en die vergeten colleagas altijd aan te zetten, dus dan gaat het alsnog vaak mis.

Heb zeker het idee dat Word in theorie veel meer functies bevat die Google Docs mist, maar in de praktijk voor kantoor gebruik zijn dat simpelweg niet nuttige functies. Mail merge is bijv. zo'n ding dat in theorie geweldig lijkt, maar in de praktijk is het voor bijna iedereen of te complex of te risicovol (je gaat niet naar honderden mensen facturen sturen met een mail merge, want je wilt daar geen menselijke factor in hebben, dus je hebt daar dedicated software voor).

Maar hoofdreden waarom ik Word meer en meer niet kan uitstaan is vanwege het aantal 'corrupte' documenten. Recent kwam m'n bedrijf met een nieuwe template voor functionele specificaties... en op de een of andere manier was het ze gelukt om headers te hebben die wel door de navigation pane en reference dialog als headers werden gezien, maar niet door de nummering en style selection. En dat is maar 1 voorbeeld en ook nog eens een nieuw schoon document, met oude documenten die al jarenlang worden geupdate is het allemaal vaak nog erger.

En wat betreft code editors, visual studio code is momenteel de meest populaire editor, en die draait gewoon perfect in de browser want het is technisch gewoon een web app die je lokaal draait via electron. https://visualstudio.micr...rvices/github-codespaces/ is bijv. 1 van de situaties waar je hem in de browser draait. Heb half jaar geleden er een demo van geprobeert en werkt gewoon perfect. Grootste vraag daarbij is waar je je dev environment wilt draaien en in de traditionele dev aanpak is dat gewoon lokaal, maar met containers en alles wat daar bij komt kijken kan dat net zo goed in de cloud zijn. Durf wat dat betreft niet te stellen wat de voordelen en nadelen zullen zijn, behalve natuurlijk security.
Het enige wat echt goed draait in de browser zijn Google diensten en streaming diensten, precies dat waar geen Windows applicatie voor is.
Ik merk echt dat bijna alles waar een echte applicatie voor is dramatisch werkt als website
Als je de programma lokaal heb hoef je geen internet te hebben. Ja zonder internet heb je ook niets aan Zoom. Maar bijvoorbeeld de mediaplayer kan prima zonder internet tenzij je speciaal van internet gaat streamen.

De websites missen bepaalde functies die een programma misschien wel heeft. Of dat je daarvoor een andere programma kiest die misschien geen internet versie heeft.

Vaak moeten mensen inloggen op de website waar vaak genoeg de programma dubbelklikken is en werken maar.

Ik ken mensen die bijvoorbeeld niet weten hoe ze meerdere tabbladen/vensters kunnen openen maar wel weten hoe ze bijvoorbeeld internet en een muziek programma kunnen openen tegelijk.

En deze mensen weten meestal ook niet hoe favorieten werkt of hoe ze websites links of hun desktop kunnen krijgen. Dus die moeten vaak "moeilijk" doen om bij de websites te komen. Programma installeren meestal standaard de icoontje of de desktop of startmenu die ze wel makkelijk kunnen vinden.

Ook ik ben trouwens iemand die liever programma's heeft voor bepaalde dingen. Nu zullen dingen best verbeterd zijn maar vaak genoeg als me webmail een docx of pdf bestand opende had ik vaak toch veel nadelen. Hadden ze hun eigen viewer gemaakt die er weer anders eruit zag als weer andere viewers. Of was een word document alleen lezen en kon die dus evengoed nog opslaan om het te bewerken. Vaak was ik dan langer op zoek naar bepaalde functies die ik in de programma's blindelings kon vinden. Of bleek dat die optie er niet bij zat. 2x dezelfde bestand openen ging ook veel makkelijker toen. Of sloot je perongeluk de pagina en kon je de bestand weer opzoeken waar ik lokaal de belangrijkste bestanden zelf op me desktop terug kan vinden. Door zulke situaties heb ik geen hoge per van bestanden in de browser te gebruiken. Al was dit lang geleden dus zal het zeker wel beter geworden zijn. Maar het zit gewoon nog ergens in me achterhoofd waardoor programma's beter aanvoelen.
Niet dat ik ooit over problemen hierdoor heb gehoord, maar is het wel verstandig om de naam te delen van zulke hackers voor het lek is gedicht/de hack openbaar is? Iets zegt mij dat zo'n exploit voor sommige organisaties/landen best waardevol is, en je geeft ze nu een duidelijk target voor hackers/spionage.

Er zal maar eens iemand zo'n exploit iets al te graag willen, en dan kan het goed misgaan.
De vulnerability is al gemeld aan Zoom
En aangezien deze nog niet is opgelost en ze nog vinnen de gebruikelijke 90 dagen termijn zitten om het op te lossen worden er dus ook geen details gegeven
Als dit echt enorm waardevol zou zijn voor iemand was die er waarschijnlijk al mee bezig om een vulnerability te vinden, en is deze informatie dus nutteloos
Pas als de details worden vrijgegeven wordt het een probleem
Hoewel ik erg blij ben dat dit soort issues nu naar boven komen, blijf ik me toch verbazen dat ze dit altijd zo snel naar buiten brengen. Non-ethische hackers gaan nu toch juist hiernaar op zoek? Waarom niet gewoon de 90 dagen afwachten om dit soort nieuws dan naar buiten te brengen? Ik heb het idee dat ze hier veel onnodige slachtoffers mee maken.
Non-ethische hackers gaan sowieso op zoek naar dit soort lekken en meer dan dat er een lek is weet je nu ook niet.

Ik bedoel, wat weet je nu? Er is een lek in Zoom en het is een RCE. Ik zou zeggen: good luck. Het is niet dat ze vertellen hoe de exploit werkt of zelfs waar het probleem in de software zit.
Is de Linux desktop client ook kwetsbaar?
Volgensmij is de cliënt op Windows en macOS native, terwijl ze op Linux gewoon de browserversie verpakken op Electron. Aangezien de browserversie ook niet expliciet genoemd is lijkt dit wel plausibel.
Jawel, de browserversie wordt wel expliciet genoemd: die is niet kwetsbaar voor het lek dat zij gevonden hebben. Dan mag je dus aannemen dat de Linux client ook niet getroffen is.
De browserversie van het videobelplatform kampt niet met de kwetsbaarheid.Het is nog niet duidelijk of de iOS- en Android-apps ook kwetsbaar zijn

[Reactie gewijzigd door ZwolschBalletje op 8 april 2021 07:52]

Paar keer er bij mogen zijn. Pwn2Own evenementen zijn altijd supper interessant en elk jaar komen er wel interessante bugs/hacks naar voren die dan gelukkig daarna ook direct gepatched worden. Veel respect voor de mensen die hier aan mee doen. Er zijn een aantal teams die ieder jaar terug komen en iedere keer weer met iets verrassends voor de dag komen.
Alkemade en Keuper zijn naar eigen zeggen twee maanden bezig geweest met hun onderzoek naar de kwetsbaarheid, meldt RTL Nieuws.
Ik vind dat dan weer eigenlijk een beetje tegenstrijdig met
Tijdens de wedstrijd worden ethische hackers uitgedaagd om kwetsbaarheden in bepaalde software te vinden.
Want ze hebben die lekken dus niet ontdekt tijdens het Pwn2Own evenement.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True