Onderzoekers tonen zerodaylekken in Microsoft Exchange en Teams

[Captain Kirk]

Tijdens de jaarlijkse Pwn2Own-wedstrijd in Vancouver hebben onderzoekers verschillende zerodaylekken in Microsoft Exchange, Microsoft Teams, Apple Safari, Windows 10 en Ubuntu Desktop gedemonstreerd. Het securitybedrijf dat vorig jaar een zeer kritieke kwetsbaarheid in Exchange ontdekte, waar de afgelopen maanden op zeer grote schaal misbruik van is gemaakt, lukte het weer om de mailserversoftware te compromitteren.

Tijdens Pwn2Own worden beveiligingsonderzoekers beloond voor het demonstreren van onbekende kwetsbaarheden in veelgebruikte producten, zoals browsers, zakelijke applicaties, serversoftware en virtualisatiesoftware. Vanwege het vele thuiswerken is besloten om videobelsoftware als nieuwe categorie toe te voegen.

Een audiogesprek, videoconferentie of bericht waardoor gebruikers van Zoom of Teams zijn te compromitteren levert 200.000 dollar op. Een zelfde beloning wordt uitgekeerd voor aanvallen tegen Microsoft Exchange en het Windows remote desktopprotocol. Aanvallen in Microsoft Edge Chromium en Google Chrome waardoor er volledige controle over het onderliggende systeem kan worden verkregen zijn goed voor elk 150.000 dollar.

Een aanval tegen de virtualisatiesoftware Microsoft Hyper-V, waarbij het hostsysteem vanuit het gastsysteem kan worden overgenomen, levert 250.000 dollar op. De hoogste beloning is echter weggelegd voor een succesvolle aanval tegen een Tesla Model 3. Een aanval via de tuner, wifi, bluetooth of modem op het infotainmentsysteem kan onderzoekers 500.000 dollar rijker maken. Met aanvullende aanvallen, waarbij bijvoorbeeld de autopiloot permanent wordt gecompromitteerd, kan dit bedrag worden verhoogd naar zelfs 600.000 dollar.

Eerste dag

Tijdens de eerste dag van het driedaagse evenement zijn er verschillende succesvolle aanvallen gedemonstreerd. Als eerste liet onderzoeker Jack Dates van RET2 Systems zien hoe hij door middel van een integer overflow in Safari en een out-of-bounds write willekeurige code met kernelrechten op macOS kan uitvoeren. Alleen het bezoeken van een malafide of gecompromitteerde website is hiervoor voldoende. De aanval leverde Dates 100.000 dollar op.

Securitybedrijf DEVCORE, dat in januari nog een zeer kritieke kwetsbaarheid in Exchange aan Microsoft rapporteerde, lukte het opnieuw om Exchange succesvol aan te vallen. Door middel van een authentication bypass en een privilege escalation kwetsbaarheid kunnen ze een volledig gepatchte versie van Exchange op afstand en zonder interactie van gebruikers overnemen. De demonstratie van de zeroday-aanval werd beloond met 200.000 dollar.

Vervolgens demonstreerde een onderzoeker met het alias OV een succesvolle aanval tegen Microsoft Teams. Door een combinatie van kwetsbaarheden lukte het de onderzoeker om willekeurige code op het systeem van gebruikers uit te voeren. Ook deze aanval werd beloond met 200.000 dollar.

Na deze demonstratie lieten onderzoekers van Team Viettel zien hoe ze op een volledig gepatchte versie van Windows 10 door middel van een integer overflow de rechten van een normale gebruiker kunnen verhogen naar die van het systeem. De aanval leverde 40.000 dollar op. De laatste succesvolle demonstratie van dag één werd getoond door onderzoeker Ryota Shiga van Flatt Security. Hij liet zien hoe een standaard lokale gebruiker op Ubuntu Desktop door middel van een out-of-bounds 'access bug' root kan worden.

Details over de gedemonstreerde kwetsbaarheden zijn niet openbaar gemaakt. Die worden gedeeld met de betreffende leveranciers, zodat die beveiligingsupdates kunnen ontwikkelen. Pas daarna kunnen de onderzoekers ervoor kiezen om de details te publiceren. Tijdens de tweede dag van het evenement, dat later vandaag begint, staan onder andere aanvallen tegen Zoom Messenger, Parallels Desktop, Google Chrome, Microsoft Edge en Microsoft Exchange gepland.

 

bron: https://www.security.nl