Onderzoekers van Sector 7, een departement van het Nederlandse Computest, hebben een bijzonder gevaarlijke kwetsbaarheid gevonden in Zoom. De ‘remote code execution’ bug is ondertussen verholpen
Hackers van Computest doen hun kwetsbaarheid uit de doeken in een uitgebreid rapport op de blog van het bedrijf. Het gaat om een zogeheten ‘remote code execution’ kwetsbaarheid, waarmee je in principe de computer van het slachtoffer kunt overnemen via de Zoom app.
De hack gebruikt drie verschillende bugs, waaronder CVE-2021-30480, een al langer bekende kwetsbaarheid die ontstaat bij het verbinden met een computer van op afstand. Zoals de heren van Sector 7 schrijven, vereiste het enig codeerwerk om daar ook een werkbare hack van te maken, onder meer door code in het doorsturen van beeldlinks te manipuleren. Om de hack te doen werken, moet het slachtoffer de aanvaller wel accepteren als contact via Zoom, of voor dezelfde organisatie werken. De hack werkte op MacOS en Windows.
De bug werd gevonden tijdens een hackathon in april, Pwn2Own, gesponsord door het Zero Day Initiative met medewerking van Zoom zelf. Daan Keuper en Thijs Alkemade van Sector 7 wonnen er een prijs van 200.000 dollar mee. In de maanden sinds de wedstrijd heeft Zoom de kwetsbaarheden dichtgetimmerd.
Fout opgemerkt of meer nieuws? Meld het hier