Hack: Sicherheitslücken in Zoom erlauben Ausführen von Schadcode

Forschern ist es gelungen, ohne Benutzerinteraktion Schadcode per Zoom auszuführen. Präsentiert wurden die Lücken auf dem Hackerwettbewerb Pwn2own.

Artikel veröffentlicht am ,
Ob der Anrufer Böses im Schilde führt?
Ob der Anrufer Böses im Schilde führt? (Bild: Alexandra_Koch/Pixabay)

Der Hackerwettbewerb Pwn2own stand dieses Jahr ganz im Zeichen der Coronapandemie. Gehackt wurde das Videokonferenzsystem Zoom, aber auch Betriebssysteme wie Windows 10 von Microsoft oder der Chrome-Browser von Google. Veranstaltet wird der Wettbewerb durch die Zero Day Initiative (ZDI).

Stellenmarkt
  1. (Senior) Expert Development (m/w/d) Backend SAP-Commerce / Hybris
    Fressnapf Holding SE, Düsseldorf
  2. Mitarbeiter (m/w/d) für den IT First Level Support
    Diakonie Hasenbergl e.V., München
Detailsuche

Auf einem Rechner mit dem Videokonferenzsystem Zoom gelang es Daan Keuper und Thijs Alkemade, Schadcode aus der Ferne auszuführen - ohne jegliche Benutzerinteraktion. Dazu kombinierten sie gleich drei neue Sicherheitslücken in der Videokonferenzsoftware. Da die Lücken noch nicht geschlossen wurden, gibt es keine weiteren technischen Details zu den Zero Days.

In einer Animation des Angriffs wird jedoch gezeigt, dass die Sicherheitsforscher das Taschenrechnerprogramm auf dem angegriffenen Rechner öffnen konnten. Der Angriff soll sowohl unter Windows als auch unter MacOS funktionieren, auf iOS und Android wurde er noch nicht getestet. Die beiden Sicherheitsforscher erhalten 200.000 US-Dollar Preisgeld

Windows 10 und Chrome gehackt

Laut dem Zoom-Hersteller muss der Angriff "von einem akzeptierten externen Kontakt ausgehen oder Teil des gleichen Organisationskontos des Ziels sein". An einem Patch werde gearbeitet. "Als Best Practice empfiehlt Zoom allen Nutzern, nur Kontaktanfragen von Personen zu akzeptieren, die sie kennen und denen sie vertrauen."

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    2.-3. November 2021, online
  2. Microsoft Teams effizient nutzen
    25. Oktober 2021, online
  3. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
Weitere IT-Trainings

Mit einem Race-Condition-Bug gelang es Tao Yan von der Sicherheitsfirma Palo Alto Networks, Administratorenrechte auf einem vollständig gepatchten Windows-10-Rechner zu erlangen. Einem weiteren Sicherheitsforscher mit dem Namen z3r09 gelang es, über einen Integer Overflow die Benutzerrechte auszuweiten. Beide Forscher erhielten eine Preisgeld von 40.000 US-Dollar. Auch unter Ubuntu gelang Hackern eine Rechte-Ausweitung, dafür gab es 30.000 US-Dollar.

Auch Safari ließ sich hacken

Die Sicherheitsforscher Bruno Keith und Niklas Baumstark von Dataflow Security konnten einen Typer-Mismatch-Bug in Chrome sowie dem ebenfalls auf Chromium basierenden Browser Edge von Microsoft ausnutzen. Dafür erhielten sie 100.000 US-Dollar Preisgeld. Auch Apples Browser Safari wurde gehackt. Jack Dates nutzte einen Integer Overflow aus und konnte damit Code auf Kernelebene ausführen. Auch Dates erhielt 100.000 US-Dollar.

In der Virtualisierungssoftware Parallels Desktop, in Microsofts Exchange Server und mehreren anderen wurden ebenfalls Sicherheitslücken entdeckt. Eine Übersicht gibt es auf der Webseite der Zero Day Initiative. Alle gefundenen Sicherheitslücken werden an die Hersteller gemeldet. Diese müssen sie innerhalb von 90 Tagen beheben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
600 Millionen Euro
Bundeswehr lässt Funkgeräte von 1982 nachbauen

Das SEM 80/90 mit 16 KBit/s wird exakt nachgebaut, zum Stückpreis von rund 20.000 Euro. Das Retrogerät geht für die Bundeswehr in Serie.

600 Millionen Euro: Bundeswehr lässt Funkgeräte von 1982 nachbauen
Artikel
  1. Foundation bei Apple TV+: Die unverfilmbare Asimov-Trilogie grandios verfilmt
    Foundation bei Apple TV+
    Die unverfilmbare Asimov-Trilogie grandios verfilmt

    Gegen die Welt von Asimovs Foundation-Trilogie wirkt Game of Thrones überschaubar. Apple hat mit einem enormen Budget eine enorme Science-Fiction-Serie geschaffen.
    Eine Rezension von Peter Osteried

  2. Browser: Edge unterstützt Maus und Tastatur auf Xbox
    Browser
    Edge unterstützt Maus und Tastatur auf Xbox

    Microsoft hat Edge auf den aktuellen Xbox-Konsolen aktualisiert. Jetzt lässt sich der Browser fast wie am PC per Maus und Tastatur bedienen.

  3. William Shatner: Captain Kirk fliegt offenbar in die Erdumlaufbahn
    William Shatner
    Captain Kirk fliegt offenbar in die Erdumlaufbahn

    Energie! Noch im Oktober 2021 fliegt William "Kirk" Shatner möglicherweise mit Jeff Bezos ins All.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Samsung Odyssey G7 499€ • Alternate (u. a. Thermaltake Level 20 RS ARGB 99,90€) • Samsung 980 1 TB 83€ • Lenovo IdeaPad Duet Chromebook 229€ • Lenovo-Laptops zu Bestpreisen • 19% auf Sony-TVs bei MM • Samsung SSD 980 Pro 1TB 150,50€ • AeroCool Cylon 4 ARGB 25,89€ [Werbung]
    •  /