• IT-Karriere:
  • Services:

Hack: Sicherheitslücken in Zoom erlauben Ausführen von Schadcode

Forschern ist es gelungen, ohne Benutzerinteraktion Schadcode per Zoom auszuführen. Präsentiert wurden die Lücken auf dem Hackerwettbewerb Pwn2own.

Artikel veröffentlicht am ,
Ob der Anrufer Böses im Schilde führt?
Ob der Anrufer Böses im Schilde führt? (Bild: Alexandra_Koch/Pixabay)

Der Hackerwettbewerb Pwn2own stand dieses Jahr ganz im Zeichen der Coronapandemie. Gehackt wurde das Videokonferenzsystem Zoom, aber auch Betriebssysteme wie Windows 10 von Microsoft oder der Chrome-Browser von Google. Veranstaltet wird der Wettbewerb durch die Zero Day Initiative (ZDI).

Stellenmarkt
  1. NEXPLORE Technology GmbH, Essen, Darmstadt, München
  2. Salo Holding AG, Hamburg

Auf einem Rechner mit dem Videokonferenzsystem Zoom gelang es Daan Keuper und Thijs Alkemade, Schadcode aus der Ferne auszuführen - ohne jegliche Benutzerinteraktion. Dazu kombinierten sie gleich drei neue Sicherheitslücken in der Videokonferenzsoftware. Da die Lücken noch nicht geschlossen wurden, gibt es keine weiteren technischen Details zu den Zero Days.

In einer Animation des Angriffs wird jedoch gezeigt, dass die Sicherheitsforscher das Taschenrechnerprogramm auf dem angegriffenen Rechner öffnen konnten. Der Angriff soll sowohl unter Windows als auch unter MacOS funktionieren, auf iOS und Android wurde er noch nicht getestet. Die beiden Sicherheitsforscher erhalten 200.000 US-Dollar Preisgeld

Windows 10 und Chrome gehackt

Laut dem Zoom-Hersteller muss der Angriff "von einem akzeptierten externen Kontakt ausgehen oder Teil des gleichen Organisationskontos des Ziels sein". An einem Patch werde gearbeitet. "Als Best Practice empfiehlt Zoom allen Nutzern, nur Kontaktanfragen von Personen zu akzeptieren, die sie kennen und denen sie vertrauen."

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
  2. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
Weitere IT-Trainings

Mit einem Race-Condition-Bug gelang es Tao Yan von der Sicherheitsfirma Palo Alto Networks, Administratorenrechte auf einem vollständig gepatchten Windows-10-Rechner zu erlangen. Einem weiteren Sicherheitsforscher mit dem Namen z3r09 gelang es, über einen Integer Overflow die Benutzerrechte auszuweiten. Beide Forscher erhielten eine Preisgeld von 40.000 US-Dollar. Auch unter Ubuntu gelang Hackern eine Rechte-Ausweitung, dafür gab es 30.000 US-Dollar.

Auch Safari ließ sich hacken

Die Sicherheitsforscher Bruno Keith und Niklas Baumstark von Dataflow Security konnten einen Typer-Mismatch-Bug in Chrome sowie dem ebenfalls auf Chromium basierenden Browser Edge von Microsoft ausnutzen. Dafür erhielten sie 100.000 US-Dollar Preisgeld. Auch Apples Browser Safari wurde gehackt. Jack Dates nutzte einen Integer Overflow aus und konnte damit Code auf Kernelebene ausführen. Auch Dates erhielt 100.000 US-Dollar.

In der Virtualisierungssoftware Parallels Desktop, in Microsofts Exchange Server und mehreren anderen wurden ebenfalls Sicherheitslücken entdeckt. Eine Übersicht gibt es auf der Webseite der Zero Day Initiative. Alle gefundenen Sicherheitslücken werden an die Hersteller gemeldet. Diese müssen sie innerhalb von 90 Tagen beheben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 17,49€
  2. 2,50€
  3. (u. a. Angebote zu Spielen, Gaming-Monitoren, PC- und Konsolen-Zubehör, Gaming-Laptops uvm.)
  4. 7,99€

bw71236196231 11. Apr 2021 / Themenstart

Calc.exe war aber nur die Anwendung die sie gestartet haben. Nicht das Einfallstor. 98.6...

Kommentieren


Folgen Sie uns
       


Cowboy 4 ausprobiert

Die urbanen Pedelecs von Cowboy liegen gut auf der Straße und sind dank neuem Motor antrittstärker.

Cowboy 4 ausprobiert Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /