Nederlanders winnen 200.000 dollar met hacken Zoom
De ethische hackers Daan Keuper en Thijs Alkemade van Computest hebben een prijs van 200.000 dollar in de wacht gesleept met het vinden van drie vitale kwetsbaarheden in Zoom, het platform dat veel gebruikt wordt voor videovergaderingen. Het gaat om kwetsbaarheden die nog niet zijn verholpen.
Het vinden van de kwetsbaarheden gebeurde tijdens de jaarlijkse Pwn2Own-wedstrijd. Dan kunnen ethische hackers van over de hele wereld gedurende drie dagen hun vaardigheden demonstreren. Normaal gebeurt dat in Vancouver, maar vanwege de reisbeperkingen is de wedstrijd dit jaar online georganiseerd. Met de wedstrijd proberen softwarefabrikanten kwetsbaarheden in hun producten te laten ontdekken, zodat die verholpen kunnen worden.
Coronacrisis
Dit jaar was er speciale aandacht voor Teams van Microsoft en Zoom, omdat die software veel gebruikt wordt door mensen die vanwege de coronacrisis van huis uit moeten werken. Wie er in slaagde in te breken op zo’n vergadering, kon 200.000 dollar op zijn bankrekening verwachten. Alkemade en Keuper lukte het om in te breken op de chatfunctie van Zoom. Door gelijktijdig gebruik van drie kwetsbaarheden wisten ze zonder medewerking of nalatigheid van het slachtoffer code op het systeem uit te voeren. Verdere details zijn niet bekendgemaakt, omdat hun methode nog steeds te gebruiken is. De twee hebben hun bevindingen wel met Zoom gedeeld, zodat het bedrijf een update kan ontwikkelen.
Meer kwetsbaarheden
Er waren meer prijzen te winnen tijdens Pwn2Own. Het vinden van kwetsbaarheden in de veelgebruikte browsers Google Chrome en Microsoft Edge leverden de onderzoekers 100.000 dollar op. Ook in het e-mail-platform Microsoft Exchange werden weer de nodige kwetsbaarheden ontdekt. Begin dit jaar kwam dit product in het nieuws toen bleek dat via kwetsbaarheden complete bedrijfsnetwerken overgenomen konden worden door hackers. Verder werden drie kwetsbaarheden in de virtualisatiesoftware Parallels Desktop ontdekt, waardoor het onderliggende besturingssysteem overgenomen kon worden. Dit leverde de onderzoekers 40.000 dollar op. Donderdag worden nog aanvallen uitgevoerd op Microsoft Exchange, Parallels Desktop, Ubuntu Desktop en Windows 10.