Hack: Sicherheitslücken in Zoom erlauben Ausführen von Schadcode

Forschern ist es gelungen, ohne Benutzerinteraktion Schadcode per Zoom auszuführen. Präsentiert wurden die Lücken auf dem Hackerwettbewerb Pwn2own.

Artikel veröffentlicht am ,
Ob der Anrufer Böses im Schilde führt?
Ob der Anrufer Böses im Schilde führt? (Bild: Alexandra_Koch/Pixabay)

Der Hackerwettbewerb Pwn2own stand dieses Jahr ganz im Zeichen der Coronapandemie. Gehackt wurde das Videokonferenzsystem Zoom, aber auch Betriebssysteme wie Windows 10 von Microsoft oder der Chrome-Browser von Google. Veranstaltet wird der Wettbewerb durch die Zero Day Initiative (ZDI).

Auf einem Rechner mit dem Videokonferenzsystem Zoom gelang es Daan Keuper und Thijs Alkemade, Schadcode aus der Ferne auszuführen - ohne jegliche Benutzerinteraktion. Dazu kombinierten sie gleich drei neue Sicherheitslücken in der Videokonferenzsoftware. Da die Lücken noch nicht geschlossen wurden, gibt es keine weiteren technischen Details zu den Zero Days.

In einer Animation des Angriffs wird jedoch gezeigt, dass die Sicherheitsforscher das Taschenrechnerprogramm auf dem angegriffenen Rechner öffnen konnten. Der Angriff soll sowohl unter Windows als auch unter MacOS funktionieren, auf iOS und Android wurde er noch nicht getestet. Die beiden Sicherheitsforscher erhalten 200.000 US-Dollar Preisgeld

Windows 10 und Chrome gehackt

Laut dem Zoom-Hersteller muss der Angriff "von einem akzeptierten externen Kontakt ausgehen oder Teil des gleichen Organisationskontos des Ziels sein". An einem Patch werde gearbeitet. "Als Best Practice empfiehlt Zoom allen Nutzern, nur Kontaktanfragen von Personen zu akzeptieren, die sie kennen und denen sie vertrauen."

Mit einem Race-Condition-Bug gelang es Tao Yan von der Sicherheitsfirma Palo Alto Networks, Administratorenrechte auf einem vollständig gepatchten Windows-10-Rechner zu erlangen. Einem weiteren Sicherheitsforscher mit dem Namen z3r09 gelang es, über einen Integer Overflow die Benutzerrechte auszuweiten. Beide Forscher erhielten eine Preisgeld von 40.000 US-Dollar. Auch unter Ubuntu gelang Hackern eine Rechte-Ausweitung, dafür gab es 30.000 US-Dollar.

Auch Safari ließ sich hacken

Die Sicherheitsforscher Bruno Keith und Niklas Baumstark von Dataflow Security konnten einen Typer-Mismatch-Bug in Chrome sowie dem ebenfalls auf Chromium basierenden Browser Edge von Microsoft ausnutzen. Dafür erhielten sie 100.000 US-Dollar Preisgeld. Auch Apples Browser Safari wurde gehackt. Jack Dates nutzte einen Integer Overflow aus und konnte damit Code auf Kernelebene ausführen. Auch Dates erhielt 100.000 US-Dollar.

In der Virtualisierungssoftware Parallels Desktop, in Microsofts Exchange Server und mehreren anderen wurden ebenfalls Sicherheitslücken entdeckt. Eine Übersicht gibt es auf der Webseite der Zero Day Initiative. Alle gefundenen Sicherheitslücken werden an die Hersteller gemeldet. Diese müssen sie innerhalb von 90 Tagen beheben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
25 Jahre Starship Troopers
Paul Verhoevens missverstandene Satire

Als Starship Troopers in die Kinos kam, wurde ihm faschistoides Gedankengut unterstellt. Dabei ist der Film des Niederländers Paul Verhoeven eine beißende Satire.
Von Peter Osteried

25 Jahre Starship Troopers: Paul Verhoevens missverstandene Satire
Artikel
  1. Azure DevOps: Die Entwicklerplattform, die es richtig macht
    Azure DevOps
    Die Entwicklerplattform, die es richtig macht

    Azure DevOps ist eine mächtige und ständig wachsende Plattform. Ich bin Fan - und zwar aus guten Gründen.
    Ein IMHO von Rene Koch

  2. Lügenvorwürfe: Beschwerden über Telekom-Drückerkolonnen auch in Karlsruhe
    Lügenvorwürfe
    Beschwerden über Telekom-Drückerkolonnen auch in Karlsruhe

    Wie in Köln arbeiten Telekom-Werber offenbar auch in Karlsruhe mit fragwürdigen Methoden. Verbraucherschützer fordern ein Verbot solcher Besuche ohne Einwilligung.

  3. Energiekrise: Brauchen wir Atomkraftwerke noch?
    Energiekrise
    Brauchen wir Atomkraftwerke noch?

    Wegen des Kriegs in der Ukraine laufen die letzten drei deutschen Atomkraftwerke bis Mitte April. Ein Weiterbetrieb wird gefordert. Wie realistisch oder sinnvoll ist das?
    Eine Analyse von Werner Pluta

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Kingston NV2 2TB 104,90€ • Patriot Viper VPN100 2TB 123,89€ • Alternate: Weekend Sale • WSV bei MediaMarkt • XIAOMI Watch S1 149€ • Alphacool Eiswolf 2 AiO 360 Radeon RX 6800/XT 227,89€ • MindStar: be quiet! Dark Power 13 1000W 259€ • The Legend of Zelda: Link's Awakening 39,99€ [Werbung]
    •  /