zoeken Nieuwsbrief
      Linkedin    Twitter   
  
nieuws
 

Nederlandse hackers nemen laptops over door ernstige kwetsbaarheden in Zoom

Daan Keuper en Thijs Alkemade van Computest Security winnen 200.000 USD tijdens prestigieuze, internationale hackerswedstrijd

12 april 2021 - Twee Nederlandse ethische hackers van Computest Security, Daan Keuper en Thijs Alkemade, hebben ernstige kwetsbaarheden gevonden in Zoom. Door het misbruiken van de kwetsbaarheden is de laptop of pc van een gebruiker over te nemen, vrijwel zonder dat de gebruiker betrokken hoeft te zijn, laat staan het doorheeft.

De bevindingen van Keuper en Alkemade zijn van dusdanig belang dat ze deze mochten presenteren tijdens de prestigieuze hackerswedstrijd Pwn2Own, onderdeel van de security-conferentie CanSecWest. Zoom beloonde de vondst met een zogenaamde ‘bug bounty’ van 200.000 dollar. 


 
Zero-day kwetsbaarheden
Tijdens hun onderzoek naar Zoom vonden Keuper en Alkemade een aantal zogeheten zero-day kwetsbaarheden in de Zoom client. Deze wordt door gebruikers op een PC of laptop geïnstalleerd om van de video-conferencing dienst gebruik te kunnen maken. De hackers van Computest Security zijn erin geslaagd willekeurige code uit te voeren op verschillende systemen van diverse geselecteerde slachtoffers die hun medewerking verleenden. Ze waren vervolgens in staat om het systeem vrijwel helemaal over te nemen en acties uit te voeren zoals de camera aanzetten, microfoon aanzetten, e-mails lezen, meekijken op het scherm en de browsergeschiedenis downloaden. Hiervoor was geen gebruikersinteractie nodig vanuit de kant van het slachtoffer.
Keuper: "Zoom lag natuurlijk vorig jaar al onder vuur vanwege de nodige kwetsbaarheden. Daarbij ging het vooral om de veiligheid van de toepassing zelf, en het mogelijk meekijken en -luisteren met de video-calls. Onze ontdekkingen gaan echter verder. Door kwetsbaarheden in de client waren we in staat het hele systeem van gebruikers over te nemen. Een serieus privacy-issue waarmee we ons hebben gekwalificeerd voor deelname aan Pwn2Own en uiteindelijk hebben gewonnen."
 
Tools voor thuiswerken aantrekkelijk doelwit
De hackers van Computest Security mochten hun bevindingen presenteren tijdens de internationale hackerswedstrijd Pwn2Own, onderdeel van security-conferentie CanSecWest. Veel grote techbedrijven als Microsoft, Adobe en Tesla doen al langer mee aan Pwn2Own om hun oplossingen te laten onderwerpen aan de beproevingen van ethisch hackers. Aangezien mensen door de pandemie massaal zijn gaan thuiswerken door en tools die daarbij gebruikt worden een aantrekkelijk doelwit zijn geworden voor hackers, heeft de organisatie dit jaar de nieuwe categorie Enterprise Communications toegevoegd. Daarbij stond Zoom voor het eerst als onderdeel op het programma. 
 
Beloning voor ethische hackers
Rode draad van de wedstrijd is het binnen zeer beperkte tijd overnemen van systemen door middel van kwetsbaarheden die nog niet bekend zijn (zero-day). Wanneer blijkt dat de kwetsbaarheden inderdaad onbekend zijn en het belang van de vondst groot genoeg is, maken de hackers kans op beloningen. Zoom loofde 200.000 USD uit voor de ethische hackers die daadwerkelijk een kwetsbaarheid wisten te vinden. Keuper deed al eens eerder mee in 2012 en mocht zijn hack van een iPhone toen op het internationale podium presenteren. Daarmee sleepte hij een prijs van 30.000 euro in de wacht. 
 Om kwetsbaarheden die een groot maatschappelijk belang hebben te onderzoeken, heeft Computest Security een eigen onderzoekslab ingericht; Sector 7. "Met een eigen lab willen we niet alleen de innovatie binnen het bedrijf stimuleren en laten zien dat we de beste hackers in huis hebben, maar ook zorgen voor meer security-bewustzijn in de hele keten," vertelt Chris Hazewinkel, CEO van Computest Security. "Steeds meer zakelijke en consumentenproducten zijn connected. Door het gebruiksgemak worden deze ook massaal geadopteerd. Zoals we ook met ons eerdere onderzoek naar IoT-security in de automotive sector hebben gezien, laat het beveiligingsniveau vaak nog te wensen over. Het blootleggen van dit soort kwetsbaarheden in Zoom geeft ook aan dat organisaties in elke situatie kritisch moeten zijn bij het ingebruiknemen van nieuwe tools." 
 
 
 

 
 Doorsturen   Reageer  

 

Laatste nieuws

 Grote merken stellen Nederlandse consument teleur
 Nederlanders zijn trots op hun werk en doen vaak meer dan wordt gevraagd
 HR-beslisser ervaart te hoge werkdruk op HR-afdeling
 

Gerelateerde nieuwsitems

 Ik ben gehackt. Wat nu?
 Hackers haken dankbaar in op COVID-19
 Cybercriminelen zoeken gericht naar kwetsbaarheden in routers en IoT-apparatuur thuiswerkers
 Dit zijn de winnaars van de Nederlandse coronahackathon Hack the Crisis
 
 
reacties
 
Er zijn nog geen reacties.

REAGEREN

Naam:
Emailadres:
URL: (niet verplicht) http:// 
 
Reactie/Opmerking:
Ik wil bericht per e-mail ontvangen als er meer reacties op dit artikel verschijnen.
 
Als extra controle, om er zeker van te zijn dat dit een handmatige reactie is, typ onderstaande code over in het tekstveld ernaast. Is het niet te lezen? Klik hier om de code te wijzigen.
advertorial
White paper: E-mail Marketing Automation Trends 2022
Wat kun je in 2022 verwachten op het gebied van e‑mail marketing automation? Welke trends en ontwikkelingen ziet Spotler? En welke thema’s moet je dit jaar in de gaten houden om zoveel mogelijk succes te behalen met je organisatie?
Download het white paper
Lees verder
Trend van eigen thuisbioscoop zet ook in 2022 door
reacties
Traditioneel kerstpakket populairste extra beloning  (1) 
Thuiswerkers klagen het meest over hoofdpijn, stijve nek en vermoeide ogen  (1) 
Bedrijven verwachten tweedeling kantoorwerkers en thuiswerkers (2) 
Laptop veel milieuvriendelijker dan desktop  (1) 
Om veerkrachtiger te zijn, moeten bedrijven zich op snelheid en schaal richten (1) 
25 procent meer omzet verwacht door face-to-face zakendoen (2) 
Agile werken: een fundamentele cultuurverandering (1) 
top10
De zes belangrijkste trends voor intelligente documentverwerking in 2022
Van Digital Twins tot afstandscontrole: dít zijn de visualisatietrends van 2022
Brede kijk op netwerksecurity dé uitdaging voor 2022
'Het nieuwe normaal is nu gewoon normaal'
Jongeren zijn extra kwetsbaar voor phishing
Drie manieren om betrokkenheid te creëren bij medewerkers op afstand
Bedrijven willen klantervaring verbeteren in huidige 'digital-first' wereld
Vijf tips voor veiligheidsbewustzijn
Twee op de vijf werkenden laat zich niet verleiden door tekenbonus bij zoektocht nieuwe baan
Deze acht innovatieve features brengt Zoom uit in 2022
meer top 10