Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Nederlandse hackers vinden kwetsbaarheid in Zoom tijdens Pwn2Own-hackwedstrijd

Nederlandse hackers Daan Keuper en Thijs Alkemade hebben een kwetsbaarheid in Zoom ontdekt tijdens Pwn2own. Met deze kwetsbaarheid kunnen de systemen van Zoom-gebruikers worden overgenomen. De hackers ontvangen 200.000 dollar voor de ontdekking.

Keuper en Alkemade, die werken voor cybersecuritybedrijf Computest, combineerden drie kwetsbaarheden om op afstand code op een systeem uit te voeren tijdens de tweede dag van de Pwn2Own-competitie. De kwetsbaarheden vereisen geen interactie van het slachtoffer. De organisatie van Pwn2Own publiceerde op woensdag een gif van de kwetsbaarheid in actie.

De kwetsbaarheid zit in de Windows- en macOS-versies van Zoom. De browserversie van het videobelplatform kampt niet met de kwetsbaarheid. Het is nog niet duidelijk of de iOS- en Android-apps ook kwetsbaar zijn; Keuper en Alkemade hebben daar geen onderzoek naar gedaan, vertelt het duo in een interview met RTL Nieuws.

De kwetsbaarheid is op het moment van schrijven nog niet gedicht. Keuper en Alkemade maken hierom geen details bekend over de werking van de kwetsbaarheid. Keuper vertelt tegenover RTL dat gebruikers zich vooralsnog geen zorgen hoeven te maken: "Zoom krijgt negentig dagen om het te dichten, maar ik verwacht dat dat veel sneller gebeurt." Alkemade en Keuper zijn naar eigen zeggen twee maanden bezig geweest met hun onderzoek naar de kwetsbaarheid, meldt RTL Nieuws.

Pwn2Own is een hackwedstrijd die ieder jaar wordt gehouden in Vancouver. Dit jaar mogen hackers ook vanuit huis deelnemen vanwege de coronapandemie. Tijdens de wedstrijd worden ethische hackers uitgedaagd om kwetsbaarheden in bepaalde software te vinden. Succesvolle pogingen worden beloond met een geldbedrag, dat afhankelijk is van de software waarin de kwetsbaarheid wordt gevonden.

Dit jaar wordt voor het eerst communicatiesoftware die wordt gebruikt voor thuiswerken op de proef gesteld. Hieronder vallen Zoom en Microsoft Teams. Het prijzengeld in deze categorie bedraagt 200.000 dollar, wat omgerekend neerkomt op ongeveer 168.000 euro. Adobe doet dit jaar ook voor het eerst mee aan de hackwedstrijd; deelnemers worden uitgedaagd om kwetsbaarheden in Adobe Reader te vinden. Pwn2Own 2021 loopt tot en met donderdag 8 april.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Daan van Monsjou

Nieuwsposter

07-04-2021 • 20:59

69 Linkedin

Submitter: juliank

Reacties (69)

Wijzig sortering
Grote tip voor iedereen die dit interessant vind, diepe inhoudelijke kennis is niet persé nodig.
Als je daarmee zoveel geld ($200.000) kunt verdienen, kan ik me daar iets bij voorstellen.
Dat kan, mijn ervaring is anders, en ik werk dan wel niet voor een gigantische cooporatie maar een technisch adviesbureau met vestigingen over meerdere landen en wij hebben een naadloze integratie van excel en word als frontend die gewoon onmogelijk is met de huidige staat van de geboden webopties. De mogelijkheden van O365 webapps liggen ver beneden die van office97 om maar iets te noemen. Verwijs voor de lol eens naar een ander workbook, succes.
ik heb het hier al een paar keer geschreven: Microsoft ontwikkelt software voor een héél breed publiek en biedt die producten dan als geheel aan. Functies die misschien 10 van de mensen gebruiken (macro's en pivot-tables zijn daar een héél mooi voorbeeld van, maar bvb ook conditionele opmaak) zitten daardoor in producten die door de meesten amper gekend zijn, laat staan gebruikt.
Maar dat is het ding, macro's, pivot tables en conditional formatting zijn nog steeds de normale functies die je ook gewoon in Google Docs en Google Sheets zult vinden. De functies die missen zijn veel en veel specifieker. En ze zijn er echt wel (voor iedere unieke functie in Google's oplossing zijn er 10 unieke functies in Office), maar ik heb liever stabielere software met minder nice-to-have extra functies 😅 .
WhatsApp Web is in elk geval goed. Zoom en WebEx ook.
Zover ik weet heb je als presenter de desktop versie nodig van Zoom.
eigenlijk wil je zeggen: schakel allen over op Chromebooks :-)
En ik moet u nog grotendeels gelijk geven ook dan ;-)

hierbij kan ik wel melden: de Zoom web client is veel beperkter. geen achtergrondfilters. Remote camera control, en vooral: de polls werken niet!
Dus eigenlijk moet ik niet over naar een Chromebook als ik een beetje professioneel wil presenteren tijdens een conference?
Je kan de android client er ook op zetten, daar werkt dit wel mee :-)
Das nog het voordeel aan een chromebook, je kan er ook Android apps op zetten.
Maar dat alles via het web even goed werkt als met een client is dus niet het geval.
Ik gebruik wel degelijk mijn chromebook ook veel voor meetings dus ;-)
En als je professioneel wil presenteren, gebruik dan aub geen filter....
In ieder stuk software zit een kwetsbaarheid en daar wordt inderdaad naar gezocht. Maar als je nu als hacker niet specifiek op Zoom focust, zou je dat met dergelijke berichten wel kunnen doen, omdat kennelijk de kans dat je daar nu een kwetsbaarheid in vind groot is.

Beetje hetzelfde als je weet dat de sleutel van de buren in een nep steen verstopt ligt, misschien was je nog niet actief op zoek, maar nu je het zeker weet wel...
Bij deze wedstrijd worden categorieën, onder andere, bepaald door aanvalsoppervlakte en focus van bekende black hat operaties. Dit jaar was dat, voor het eerst, communicatiesoftware. Juist omdat het dit jaar extra kritisch is en er veel aanvallen zijn gedaan op zulke software.

ZOOM hoeft niet mee te doen! ze kiezen daarvoor om het vertrouwen in hun producten uiteindelijk te vergroten, vooral na een aantal PR disasters vorig jaar.
Alsnog vermoed ik dat ze “gewoon” een Electron bug hebben gevonden, zoals wel vaker met Electron apps.
Het zou prettig zijn als het artikel zou melden hoe de exploit kan worden gebruikt.

Moet het slachtoffer bijvoorbeeld een bepaalde meeting joinen? Of is alleen het geinstalleerd zijn van zoom al voldoende om je systeeem in gevaar te brengen?
De kwetsbaarheden vereisen geen interactie van het slachtoffer.
Dat kan nog twee dingen zijn:

1. "geen interactie, terwijl Zoom actief is" (remote code execution via actieve Zoom sessie waarin slachtoffer samen met de aanvaller zit)

2. "geen interactie terwijl Zoom alleen geinstalleerd is".


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True