zoeken Nieuwsbrief
      Linkedin    Twitter   
  
nieuws
 

Nederlandse hackers nemen laptops over door ernstige kwetsbaarheden in Zoom

Daan Keuper en Thijs Alkemade van Computest Security winnen 200.000 USD tijdens prestigieuze, internationale hackerswedstrijd

12 april 2021 - Twee Nederlandse ethische hackers van Computest Security, Daan Keuper en Thijs Alkemade, hebben ernstige kwetsbaarheden gevonden in Zoom. Door het misbruiken van de kwetsbaarheden is de laptop of pc van een gebruiker over te nemen, vrijwel zonder dat de gebruiker betrokken hoeft te zijn, laat staan het doorheeft.

De bevindingen van Keuper en Alkemade zijn van dusdanig belang dat ze deze mochten presenteren tijdens de prestigieuze hackerswedstrijd Pwn2Own, onderdeel van de security-conferentie CanSecWest. Zoom beloonde de vondst met een zogenaamde ‘bug bounty’ van 200.000 dollar. 


 
Zero-day kwetsbaarheden
Tijdens hun onderzoek naar Zoom vonden Keuper en Alkemade een aantal zogeheten zero-day kwetsbaarheden in de Zoom client. Deze wordt door gebruikers op een PC of laptop geïnstalleerd om van de video-conferencing dienst gebruik te kunnen maken. De hackers van Computest Security zijn erin geslaagd willekeurige code uit te voeren op verschillende systemen van diverse geselecteerde slachtoffers die hun medewerking verleenden. Ze waren vervolgens in staat om het systeem vrijwel helemaal over te nemen en acties uit te voeren zoals de camera aanzetten, microfoon aanzetten, e-mails lezen, meekijken op het scherm en de browsergeschiedenis downloaden. Hiervoor was geen gebruikersinteractie nodig vanuit de kant van het slachtoffer.
Keuper: "Zoom lag natuurlijk vorig jaar al onder vuur vanwege de nodige kwetsbaarheden. Daarbij ging het vooral om de veiligheid van de toepassing zelf, en het mogelijk meekijken en -luisteren met de video-calls. Onze ontdekkingen gaan echter verder. Door kwetsbaarheden in de client waren we in staat het hele systeem van gebruikers over te nemen. Een serieus privacy-issue waarmee we ons hebben gekwalificeerd voor deelname aan Pwn2Own en uiteindelijk hebben gewonnen."
 
Tools voor thuiswerken aantrekkelijk doelwit
De hackers van Computest Security mochten hun bevindingen presenteren tijdens de internationale hackerswedstrijd Pwn2Own, onderdeel van security-conferentie CanSecWest. Veel grote techbedrijven als Microsoft, Adobe en Tesla doen al langer mee aan Pwn2Own om hun oplossingen te laten onderwerpen aan de beproevingen van ethisch hackers. Aangezien mensen door de pandemie massaal zijn gaan thuiswerken door en tools die daarbij gebruikt worden een aantrekkelijk doelwit zijn geworden voor hackers, heeft de organisatie dit jaar de nieuwe categorie Enterprise Communications toegevoegd. Daarbij stond Zoom voor het eerst als onderdeel op het programma. 
 
Beloning voor ethische hackers
Rode draad van de wedstrijd is het binnen zeer beperkte tijd overnemen van systemen door middel van kwetsbaarheden die nog niet bekend zijn (zero-day). Wanneer blijkt dat de kwetsbaarheden inderdaad onbekend zijn en het belang van de vondst groot genoeg is, maken de hackers kans op beloningen. Zoom loofde 200.000 USD uit voor de ethische hackers die daadwerkelijk een kwetsbaarheid wisten te vinden. Keuper deed al eens eerder mee in 2012 en mocht zijn hack van een iPhone toen op het internationale podium presenteren. Daarmee sleepte hij een prijs van 30.000 euro in de wacht. 
 Om kwetsbaarheden die een groot maatschappelijk belang hebben te onderzoeken, heeft Computest Security een eigen onderzoekslab ingericht; Sector 7. "Met een eigen lab willen we niet alleen de innovatie binnen het bedrijf stimuleren en laten zien dat we de beste hackers in huis hebben, maar ook zorgen voor meer security-bewustzijn in de hele keten," vertelt Chris Hazewinkel, CEO van Computest Security. "Steeds meer zakelijke en consumentenproducten zijn connected. Door het gebruiksgemak worden deze ook massaal geadopteerd. Zoals we ook met ons eerdere onderzoek naar IoT-security in de automotive sector hebben gezien, laat het beveiligingsniveau vaak nog te wensen over. Het blootleggen van dit soort kwetsbaarheden in Zoom geeft ook aan dat organisaties in elke situatie kritisch moeten zijn bij het ingebruiknemen van nieuwe tools." 
 
 
 

 
 Doorsturen   Reageer  

 

Laatste nieuws

 Een op de vier bedrijven niet bezig met klimaat en duurzaamheid
 Gen-Z’ers en Millennials zouden van baan veranderen voor bedrijf dat beter aansluit bij waarden
 Duurzaamheidsmanagement steeds belangrijker voor moderne bedrijven
 

Gerelateerde nieuwsitems

 Ik ben gehackt. Wat nu?
 Hackers haken dankbaar in op COVID-19
 Cybercriminelen zoeken gericht naar kwetsbaarheden in routers en IoT-apparatuur thuiswerkers
 Dit zijn de winnaars van de Nederlandse coronahackathon Hack the Crisis
 
 
reacties
 
Er zijn nog geen reacties.

REAGEREN

Naam:
Emailadres:
URL: (niet verplicht) http:// 
 
Reactie/Opmerking:
Ik wil bericht per e-mail ontvangen als er meer reacties op dit artikel verschijnen.
 
Als extra controle, om er zeker van te zijn dat dit een handmatige reactie is, typ onderstaande code over in het tekstveld ernaast. Is het niet te lezen? Klik hier om de code te wijzigen.
Human Design op de werkvloer voor teameffectiviteit en bedrijfsgroei
reacties
Top tien arbeidsmarktontwikkelingen 2022 (1) 
‘Ben jij een workaholic?’ (1) 
Een op de vier bedrijven niet bezig met klimaat en duurzaamheid (3) 
Eén op zeven Nederlanders staat niet achter aanbod van hun organisatie  (1) 
Drie manieren om te reageren op onterechte kritiek (1) 
Een cyber-survivalgids voor managers: hoe ga je om met cyberaanvallen?  (1) 
Mind your data (1) 
top10