Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

Nederlandse onderzoekers vinden kritieke kwetsbaarheden in Zoom

woensdag 7 april 2021, 20:16 door Redactie, 14 reacties
Laatst bijgewerkt: 07-04-2021, 20:40

De Nederlandse beveiligingsonderzoekers Daan Keuper en Thijs Alkemade hebben drie kritieke kwetsbaarheden in Zoom gevonden waardoor het mogelijk is om systemen van gebruikers op afstand over te nemen. Een beveiligingsupdate om het probleem te verhelpen is nog niet beschikbaar. De twee onderzoekers van it-bedrijf Computest demonstreerden hun aanval op Zoom tijdens de jaarlijkse Pwn2Own-wedstrijd. Voor hun demonstratie ontvingen de onderzoekers 200.000 dollar.

Pwn2Own is een driedaagse wedstrijd die jaarlijks in Vancouver wordt gehouden. Vanwege de coronapandemie is besloten om deelnemers, net als vorig jaar, op afstand te laten deelnemen. Tijdens Pwn2Own worden beveiligingsonderzoekers beloond voor het demonstreren van onbekende kwetsbaarheden in veelgebruikte producten, zoals browsers, zakelijke applicaties, serversoftware en virtualisatiesoftware.

Vanwege het vele thuiswerken is besloten om tijdens de editie van dit jaar videobelsoftware als nieuwe categorie toe te voegen. Een audiogesprek, videoconferentie of bericht waardoor gebruikers van Zoom of Microsoft Teams op afstand zijn te compromitteren levert 200.000 dollar op.

Tijdens de tweede dag van Pwn2Own demonstreerden Keuper en Alkemade hun aanval op de chatfunctie van Zoom. Door het combineren van drie kwetsbaarheden wisten ze zonder enige interactie van het slachtoffer code op het systeem uit te voeren. Verdere details zijn niet bekendgemaakt. Informatie over de beveiligingslekken wordt nu gedeeld met Zoom, zodat het bedrijf een beveiligingsupdate kan ontwikkelen.

"Zoom lag natuurlijk vorig jaar al onder vuur vanwege de nodige kwetsbaarheden. Daarbij ging het vooral om de veiligheid van de toepassing zelf, en het mogelijk meekijken en -luisteren met de video-calls. Onze ontdekkingen gaan echter verder. Door kwetsbaarheden in de client waren we in staat het hele systeem van gebruikers over te nemen", aldus Keuper.

Google Chrome, Microsoft Edge, Exchange en Parallels Desktop

De demonstratie van de Nederlandse beveiligingsonderzoekers was niet de enige aanval die vandaag werd getoond. Onderzoeker Jack Dates van RET2 Systems wist door middel van drie kwetsbaarheden in virtualisatiesoftware Parallels Desktop het onderliggende besturingssysteem over te nemen. De demonstratie werd beloond met 40.000 dollar.

Bruno Keith en Niklas Baumstark van Dataflow Security wisten een exploit voor Google Chrome en Microsoft Edge te ontwikkelen. Door middel van een "type mismatch" bug lukte het de onderzoekers om code binnen beide browsers uit te voeren. De aanval, waarbij het voldoende is om alleen een malafide of gecompromitteerde website te bezoeken, leverde Keith en Baumstark in totaal 100.000 dollar op.

Vervolgens lieten onderzoekers van Team Viettel een succesvolle aanval tegen Microsoft Exchange zien. Het lukte de onderzoekers om een volledig gepatchte Exchange-server op afstand over te nemen. Aangezien een aantal van de gebruikte kwetsbaarheden al tijdens de eerste dag van Pwn2Own door een ander securitybedrijf was gedemonstreerd werd de demonstratie van Team Viettel als een 'partial win' bestempeld.

Morgen staat de laatste dag van Pwn2Own gepland, met aanvallen tegen Ubuntu Desktop, Windows 10, Parallels Desktop en Microsoft Exchange.

Image

Google publiceert exploit voor ernstig Bluetooth-lek in Linux-kernel
Belgische slachtoffers Facebook-datalek opgeroepen klacht in te dienen
Reacties (14)
Reageer met quote
07-04-2021, 20:59 door Password1234
Gelukkig gebruik ik Zoom op een Mac.
Reageer met quote
07-04-2021, 21:37 door Anoniem
Door Password1234: Gelukkig gebruik ik Zoom op een Mac.


Daar blijft de bug dus gewoon inzitten ;-)
Reageer met quote
07-04-2021, 22:27 door walmare
Door kwetsbaarheden in de client waren we in staat het hele systeem van gebruikers over te nemen", aldus Keuper.
Van alle gebruikers? Wat een slecht systeem dan zeg.
Reageer met quote
08-04-2021, 08:00 door Bitje-scheef
Goh, Exchange weer... Even wachten op Teams...
Reageer met quote
08-04-2021, 08:49 door Anoniem
Door Password1234: Gelukkig gebruik ik Zoom op een Mac.

Blijf maar onder die steen, voel je maar lekker veilig met Zoom op je Mac :-)
Reageer met quote
08-04-2021, 09:14 door Anoniem
Door Anoniem:
Door Password1234: Gelukkig gebruik ik Zoom op een Mac.


Daar blijft de bug dus gewoon inzitten ;-)
Maar het exploiteren is alleen getest op Windows niet op een Mac. :-)
Reageer met quote
08-04-2021, 09:20 door _R0N_
Door Password1234: Gelukkig gebruik ik Zoom op een Mac.

MacOS was de eerste dag al geroot.
Reageer met quote
08-04-2021, 09:42 door Freud
Dit soort events laten wel weer zien dat gerichte aandacht met skills, de meeste organisaties kwetsbaar maakt. Never mind APT, dit soort werk is de basis van cybercrime-as-a-service. Het onderstreept maar weer de meerwaarde defense-in-depth aanpak en bewustzijn van je attack surface.
Reageer met quote
08-04-2021, 09:46 door Anoniem
Gaat het om de on premise exchange of exchange online?
Reageer met quote
08-04-2021, 11:10 door Anoniem
Alles is lek alles kan kapot.

Waarom hangt in godsnaam nogsteeds alles aan het internet of een ongesegmenteerd LAN/Domein?

833 Miljoen voor cyber is niet de oplossing. Gedrags en Cultuurs veranderingen wel. Misschien maar eens beginnen bij de software developers van systemen en applicaties, die geen "secure design" leveren. (Ja joh Windows10 client doe maar automatisch een proxy accepteren voor een mitm, sure.)
Reageer met quote
08-04-2021, 12:09 door Anoniem
Door Password1234: Gelukkig gebruik ik Zoom op een Mac.

Je kunt gewoon webrtc gebruiken, niets installeren. En dat is goed genoeg voor 80% 90% van de video conferences. Alleen als je grotere groepen hebt, kan ik me voorstellen dat je 'management' software nodig hebt om efficienter de beschikbare bandbreedte te gebruiken.
Reageer met quote
08-04-2021, 13:02 door Anoniem
Door Freud: Dit soort events laten wel weer zien dat gerichte aandacht met skills, de meeste organisaties kwetsbaar maakt. Never mind APT, dit soort werk is de basis van cybercrime-as-a-service. Het onderstreept maar weer de meerwaarde defense-in-depth aanpak en bewustzijn van je attack surface.
Het onderstreept vooral het belang van een “assume breach” aanpak.
Reageer met quote
08-04-2021, 19:23 door Anoniem
Door Anoniem:
Door Freud: Dit soort events laten wel weer zien dat gerichte aandacht met skills, de meeste organisaties kwetsbaar maakt. Never mind APT, dit soort werk is de basis van cybercrime-as-a-service. Het onderstreept maar weer de meerwaarde defense-in-depth aanpak en bewustzijn van je attack surface.
Het onderstreept vooral het belang van een “assume breach” aanpak.

+100.
Reageer met quote
09-04-2021, 19:11 door Anoniem
Het gaat om gelukkig alleen om Zoom Chat, wel voor Windows en Mac.
Maar waarom zou je idd een app installeren, nb van een club met zeldzaam slecht track-record, terwijl je gewoon prima kunt video chatten in elke browser dankzij de WebRTC W3C standaard? Tip: open-source Jitsi is ook gratis op NL servers te gebruiken: https://vc4all.nl/
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Je reactie is verstuurd en wordt zo spoedig mogelijk gemodereerd.

Verder
captcha
Nieuwe code
Preview Reageren
Zoeken
search
Certified Secure LIVE Online training

CoronaCheck app voor toegang tot sociale activiteiten:

25 reacties
Aantal stemmen: 1052
Wetsvoorstel dat toegang via testbewijzen regelt naar Tweede Kamer
19-04-2021 door Redactie

Het wetsvoorstel dat ervoor zorgt dat testbewijzen kunnen worden ingezet voor toegang tot activiteiten zoals sportwedstrijden, ...

30 reacties
Lees meer
Is strafrechtelijke vervolging van verkoop van gamecheats ook denkbaar in Nederland?
14-04-2021 door Arnoud Engelfriet

Juridische vraag: In de media wordt bericht dat in China een crimineel collectief is opgepakt dat gamecheats verkocht. Volgens ...

10 reacties
Lees meer
Datalek bij nieuwbouw
13-04-2021 door Anoniem

In de randstand was het begin deze maand mogelijk om je in te schrijven voor een loting van 28 nieuwbouw huizen. Om zo ...

14 reacties
Lees meer
Beste manier om een wachtwoord te bewaren?
09-04-2021 door EenVraag

Iemand enig idee wat de beste manier is om een wachtwoord te bewaren?

17 reacties
Lees meer
Datakluis als gouden kogel tegen datalekken?
15-04-2021 door Anoniem

Bij een webwinkel waar net een datalek is geweest staat de volgende tekst op de site Welke maatregelen neemt X om herhaling ...

22 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter