Pwn2Own 2021: Zoom en Teams voor het eerst gehackt

Op de jaarlijkse driedaagse Pwn2Own hacker-wedstrijd, die dit jaar online gehouden wordt vanwege het coronavirus, is de beveiliging van diverse software gekraakt. Pw2Own wordt georganiseerd door Zero Day Initiative (ZDI), een dochterorganisatie van beveiligingsbedrijf Trend Micro, dat op verantwoorde wijze lekken in software openbaart (zodat de getroffen softwarebedrijven eerst de tijd hebben om een update uit te brengen).

Microsoft Teams gehackt op dag 1

Op dag 1 van Pwn2Own 2021 gingen Windows 10, Ubuntu, Safari, Microsoft Teams en Microsoft Exchange voor de bijl bij pogingen van professionele beveiligingsonderzoekers uit verschillende landen om de software kraken.

Communicatie-software is een nieuwe categorie dit jaar en Microsoft Teams en Zoom worden daarom op de pijnbank gelegd. Voor lekken in deze categorie wordt $ 200.000 dollar betaald. Net zoveel als voor het kraken van mailserver-software Microsoft Exchange.

Beveiliging Zoom gekraakt door Nederlanders op dag 2

Op dag 2 werd Zoom Messenger gekraakt door de Nederlandse onderzoekers Daan Keuper en Thijs Alkemade. Zij verdienden $ 200.000 met de drie lekken die zij ontdekten in het populaire Zoom. De lekken zijn gemeld aan Zoom maar nog niet openbaar gemaakt, zodat het bedrijf de tijd heeft om een update uit te rollen waarin de kwetsbaarheden verholpen worden.

Naast Zoom werden op de tweede dag ook Windows 10 (twee keer), Parallels Desktop (twee keer), Google Chrome, Microsoft Edge, Ubuntu en Microsoft Exchange (gedeeltelijk) succesvol aangevallen.

Voor lekken in browsers als Google Chrome en Microsoft Edge wordt $ 100.000 betaald.

Dag 3: Windows 10 en Ubuntu weer gekraakt

Pogingen om - wederom - Windows 10,  Parallels Desktop, Ubuntu en Microsoft Exchange te kraken waren succesvol of gedeeltelijk succesvol. In enkele gevallen was de kwetsbaarheid die uitgebuit werd net daarvoor al bekend geworden bij de producent. In dat geval werd de poging als gedeeltelijk succesvol gezien - als deze slaagde.

Samenvatting

De besturingssystemen werden dit jaar het vaakst aangevallen - en gekraakt. Windows 10 en Parallels Desktop (virtualisatie) vijf keer en Ubuntu vier keer. Daarna volgde Microsofts mailserver Exchange met drie keer.

Communicatiesoftware Zoom en Teams waren dit jaar voor het eerst doelwit en werden beide gekraakt. Wat de deelnemers $ 200.000 beloning opleverde. Ook de browsers Google Chrome, Microsoft Edge en Safari (macOS) werden allemaal een keer gehackt.

Een overzichtje van de gehackte software op het jaarlijkse door ZDI (Zero Day Initiative) gehouden spektakel:

Software

Gekraakt door

Beloning

Microsoft Teams OV $ 200.000
Zoom Computest (NL) $ 200.000
Microsoft Exchange (3x) The Devcore team, Team Viettel, Source Incite $ 200.000
Google Chrome Dataflow Security $ 100.000
Microsoft Edge Dataflow Security $ 100.000
Safari RET2 Systems $ 100.000
Windows 10 (5x) Team Viettel, Palo Alto Networks, z3r09, Synacktiv, Marcin Wiazowski $ 40.000
Parallels Desktop (5x) RET2 Systems, Sunjoo Park, L3Harris Trenchant, Alisa Esage, Da Lao $ 40.000
Ubuntu (4x) Flatt Security Inc, Manfred Paul, The STAR Labs team, Synacktiv $ 30.000

 
De lekken zijn gemeld aan de producenten van Windows 10, Microsoft Teams, Microsoft Edge en Microsoft Exchange (Microsoft), Google Chrome (Google), Safari (Apple), Parallels Desktop, Zoom en Ubuntu (Canonical). Als deze de lekken dichtgeplakt hebben dan zullen de specifieke kwetsbaarheden ook openbaar gemaakt worden. De komende weken zullen gebruikers van deze software veel updates kunnen verwachten.

Reacties

Veiliger met chromebook en werken in de sky.

Op BNR hoorde ik dat ze 90 dagen de tijd krijgen om het lek op te lossen. Daarna volgt publicatie van het lek.

Ik blijf onder mint draaien.
Voorlopig nog perfect besturing vind ik.
Ubuntu vind ik ook top.

Ik heb al een paar keer Ubuntu geprobeerd. Laatst had ik een oude pc gekregen, Lubuntu opgezet. Na de eerste update ging het al mis, kreeg hem niet meer herstelt.

Aangezien ik veel programs gebruik die enkel op Windows kunnen gebruikt worden. Vind ik Windows het gemakkelijks en al mijn Linux programma's draaien ook op Windows. Dan is de keuze vlug gemaakt.

Geen enkel systeem is veilig of virusvrij. Leg u er bij neer of blijf van het internet af.

Ik dacht dat Ubuntu wel veiliger was dan Windows
En Linux mint is deze wel veilig?
Hoor het graag van jullie.
Ik gebruik Linux mint en Ubuntu.

afbeelding van redactie

In alle software en besturingssystemen worden lekken gevonden. Het gaat erom hoe snel deze gerepareerd worden.
Linux Mint is gebaseerd op Ubuntu. Dus als er een lek gevonden wordt in Ubuntu dan zit dit ook in Linux Mint. Maar als je de beveiligingsupdates in Windows, Ubuntu of Linux Mint altijd binnenhaalt dan ben zo goed mogelijk beveiligd.

Dan ben ik bedrogen. Men heeft mij wijsgemaakt dat Linux gegarandeerd virusvrij is, altijd is geweest, altijd blijft en altijd zal zijn en blijven. Een leugen dus.
Inmiddels weer Windows 10 als hoofdbesturingsprogramma.

kraken van een systeem is totaal wat anders dan een virus installeren

Je kunt nooit garanderen, dat iets virusvrij is. Dat Linux vrijwel geen last van heeft, komt omdat er meer ingezet wordt op de Windows kant. Logisch, omdat daar veel meer gebruikers mee werken en dus meer te verkloten is.

Dus je gaat terug naar Windows 10 om dit ?? Iets zegt me dat ik dit niet geloof.
Dan heb je het echt niet begrepen denk ik.
Maar ieder zijn keus zullen we maar zeggen.

Reageer

Plain text

  • Toegelaten HTML-tags: <a> <em> <strong> <br> <br /> <i> <b> <p>
  • Regels en alinea's worden automatisch gesplitst.
  • Adressen van webpagina's en e-mailadressen worden automatisch naar links omgezet.
  • <img> elements are lazy-loaded.
Controlevraag tegen spam
_uid-korea