zoeken Nieuwsbrief
      Linkedin    Twitter   
  
nieuws
 

Nederlandse hackers nemen laptops over door ernstige kwetsbaarheden in Zoom

Daan Keuper en Thijs Alkemade van Computest Security winnen 200.000 USD tijdens prestigieuze, internationale hackerswedstrijd

12 april 2021 - Twee Nederlandse ethische hackers van Computest Security, Daan Keuper en Thijs Alkemade, hebben ernstige kwetsbaarheden gevonden in Zoom. Door het misbruiken van de kwetsbaarheden is de laptop of pc van een gebruiker over te nemen, vrijwel zonder dat de gebruiker betrokken hoeft te zijn, laat staan het doorheeft.

De bevindingen van Keuper en Alkemade zijn van dusdanig belang dat ze deze mochten presenteren tijdens de prestigieuze hackerswedstrijd Pwn2Own, onderdeel van de security-conferentie CanSecWest. Zoom beloonde de vondst met een zogenaamde ‘bug bounty’ van 200.000 dollar. 


 
Zero-day kwetsbaarheden
Tijdens hun onderzoek naar Zoom vonden Keuper en Alkemade een aantal zogeheten zero-day kwetsbaarheden in de Zoom client. Deze wordt door gebruikers op een PC of laptop geïnstalleerd om van de video-conferencing dienst gebruik te kunnen maken. De hackers van Computest Security zijn erin geslaagd willekeurige code uit te voeren op verschillende systemen van diverse geselecteerde slachtoffers die hun medewerking verleenden. Ze waren vervolgens in staat om het systeem vrijwel helemaal over te nemen en acties uit te voeren zoals de camera aanzetten, microfoon aanzetten, e-mails lezen, meekijken op het scherm en de browsergeschiedenis downloaden. Hiervoor was geen gebruikersinteractie nodig vanuit de kant van het slachtoffer.
Keuper: "Zoom lag natuurlijk vorig jaar al onder vuur vanwege de nodige kwetsbaarheden. Daarbij ging het vooral om de veiligheid van de toepassing zelf, en het mogelijk meekijken en -luisteren met de video-calls. Onze ontdekkingen gaan echter verder. Door kwetsbaarheden in de client waren we in staat het hele systeem van gebruikers over te nemen. Een serieus privacy-issue waarmee we ons hebben gekwalificeerd voor deelname aan Pwn2Own en uiteindelijk hebben gewonnen."
 
Tools voor thuiswerken aantrekkelijk doelwit
De hackers van Computest Security mochten hun bevindingen presenteren tijdens de internationale hackerswedstrijd Pwn2Own, onderdeel van security-conferentie CanSecWest. Veel grote techbedrijven als Microsoft, Adobe en Tesla doen al langer mee aan Pwn2Own om hun oplossingen te laten onderwerpen aan de beproevingen van ethisch hackers. Aangezien mensen door de pandemie massaal zijn gaan thuiswerken door en tools die daarbij gebruikt worden een aantrekkelijk doelwit zijn geworden voor hackers, heeft de organisatie dit jaar de nieuwe categorie Enterprise Communications toegevoegd. Daarbij stond Zoom voor het eerst als onderdeel op het programma. 
 
Beloning voor ethische hackers
Rode draad van de wedstrijd is het binnen zeer beperkte tijd overnemen van systemen door middel van kwetsbaarheden die nog niet bekend zijn (zero-day). Wanneer blijkt dat de kwetsbaarheden inderdaad onbekend zijn en het belang van de vondst groot genoeg is, maken de hackers kans op beloningen. Zoom loofde 200.000 USD uit voor de ethische hackers die daadwerkelijk een kwetsbaarheid wisten te vinden. Keuper deed al eens eerder mee in 2012 en mocht zijn hack van een iPhone toen op het internationale podium presenteren. Daarmee sleepte hij een prijs van 30.000 euro in de wacht. 
 Om kwetsbaarheden die een groot maatschappelijk belang hebben te onderzoeken, heeft Computest Security een eigen onderzoekslab ingericht; Sector 7. "Met een eigen lab willen we niet alleen de innovatie binnen het bedrijf stimuleren en laten zien dat we de beste hackers in huis hebben, maar ook zorgen voor meer security-bewustzijn in de hele keten," vertelt Chris Hazewinkel, CEO van Computest Security. "Steeds meer zakelijke en consumentenproducten zijn connected. Door het gebruiksgemak worden deze ook massaal geadopteerd. Zoals we ook met ons eerdere onderzoek naar IoT-security in de automotive sector hebben gezien, laat het beveiligingsniveau vaak nog te wensen over. Het blootleggen van dit soort kwetsbaarheden in Zoom geeft ook aan dat organisaties in elke situatie kritisch moeten zijn bij het ingebruiknemen van nieuwe tools." 
 
 
 

 
 Doorsturen   Reageer  

 

Laatste nieuws

  Werkgevers zetten onvoldoende in op behoud van personeel
 Studenten zoeken banen met goede financiële toekomst in onzekere economische omstandigheden
 Meeste cyberaanvallen gericht op back-ups om betaling van losgeld af te dwingen
 

Gerelateerde nieuwsitems

 Ik ben gehackt. Wat nu?
 Hackers haken dankbaar in op COVID-19
 Cybercriminelen zoeken gericht naar kwetsbaarheden in routers en IoT-apparatuur thuiswerkers
 Dit zijn de winnaars van de Nederlandse coronahackathon Hack the Crisis
 
 
reacties
 
Er zijn nog geen reacties.

REAGEREN

Naam:
Emailadres:
URL: (niet verplicht) http:// 
 
Reactie/Opmerking:
Ik wil bericht per e-mail ontvangen als er meer reacties op dit artikel verschijnen.
 
Als extra controle, om er zeker van te zijn dat dit een handmatige reactie is, typ onderstaande code over in het tekstveld ernaast. Is het niet te lezen? Klik hier om de code te wijzigen.
Innovaties in de houthandel: welke nieuwe technologieën en trends zijn er in de houtindustrie en wat betekenen ze voor bedrijven?
Zakelijk financial leasen om verschillende redenen interessant
Softwareontwikkeling goedkoper en in hogere versnelling met ontwikkeling door ’leken’
reacties
De beste banen van Nederland voor 2023 vind je in de financiële sector en ICT (1) 
Kleine consultancybedrijven niet opgewassen tegen digitale slagkracht grote spelers  (1) 
Nederlander shopt evenveel of meer online in 2023 (1) 
Gestreste Nederlander flink aan de koffie (4) 
25 procent jongeren werkt buiten kantoortijd om niet gestoord te worden  (1) 
IT-beslisser verkiest low-code boven high-code applicatieontwikkeling (2) 
Business-IT alignment in complexe organisaties is mensenwerk (1) 
top10
Waarom R&D een formule kan zijn voor blijvend zakelijk succes
Duidelijke doelen, collega’s en ondersteuning van management belangrijkst voor werknemerservaring
Vier manieren - en twee pizza's - om innovatie in de bedrijfscultuur te bouwen
30 procent HR-professionals verdenkt thuiswerkende medewerkers van liegen sinds hogere kosten kinderopvang
Beslisser wil weer 100 procent naar kantoor, werknemer wil hybride werken
Vier op de tien Gen Z’s kampen met burn-outklachten door hoge werkdruk
Leren en ontwikkelen in de zorg gaat flink op de schop
Drie op tien organisaties weet niet hoe groene arbeidsvoorwaarden rechtelijk in te voeren
Krapte steeds hoger op agenda bij corporates en bureaus
Psychische klachten bom onder arbeidsmarkt
meer top 10