>>

De Zoom Hack disclosed - Uniek online event op 27 september 2021

Eindelijk alle details op tafel

In april 2021 wonnen Daan Keuper en Thijs Alkemade, security researchers bij Computest, de internationale hackwedstrijd Pwn2Own. Via een buffer overflow in Zoom verkregen zij code execution op het target systeem - en dat alles zonder dat het slachtoffer zelf iets hoefde te doen.

Zoom image social share.jpeg

Het heeft even geduurd, maar Zoom heeft de kwetsbaarheid waarmee Daan en Thijs Pwn2Own wonnen gefixt en de advisory gepubliceerd. Dit betekent dat wij eindelijk details van de kwetsbaarheid mogen delen met geïnteresseerden. En wij weten inmiddels dat hier heel veel interesse voor is! Om deze reden heeft Computest besloten een event te organiseren waarin Daan en Thijs alles vertellen over hun aanpak en uiteindelijke resultaten van het onderzoek. Technische details komen aan de orde; waar bestond de kwetsbaarheid precies uit (gebruik maken van deze buffer overflow) en hoe hebben ze de exploit chain gebouwd die remote code execution opleverde.

Voor wie is dit event?

De presentatie richt zich door het technische karakter op mensen met een (technische) security achtergrond, die meer willen weten hoe Daan en Thijs te werk zijn gegaan in hun onderzoek en uiteindelijke exploit. De uitgebreide details zijn ook te vinden in de write up, de presentatie zal deze in grote lijnen volgen maar zeker ook ruimte geven voor vragen en discussie.

De kwetsbaarheid en de exploit in detail

zoom write up.png

Volgens de regels van de Pwn2Own wedstrijd mochten de details van de kwetsbaarheid niet naar buiten gebracht worden totdat Zoom de kwetsbaarheid had opgelost of wanneer de 90 dagen verstreken waren. In deze presentatie nemen Daan en Thijs je mee van begin tot het eind in hun onderzoeksproces en zullen ze de technische details uitgebreid toelichten. Na afloop is er de mogelijkheid om vragen te stellen, en ook om het nieuwe research Lab van Sector 7 te bezichtigen (gelegen op de bovenste verdieping van het Computest kantoor.)

Wat kun je verwachten en leren tijdens dit event?

  • De gehanteerde aanpak van het zoeken naar een bruikbare kwetsbaarheid in Zoom.
  • Welke kwetsbaarheid zij precies hebben gevonden.
  • Het bouwen van de exploit chain zelf - hier waren ze het meeste tijd aan kwijt, wat waren de issues die ze tegenkwamen?
  • Eindresultaat en follow-up met Zoom.

Het programma

16.30-17.30 uur
Presentatie security researchers Daan Keuper & Thijs Alkemade met alle ins en outs van de Zoom hack.

17:30-18.00 uur
Ruime mogelijkheid tot vragen stellen - let's get into the nitty gritty tech details!

Het online event vindt plaats via Webinargeek livestream. Je krijgt een eigen persoonlijke inlog link waarmee je kunt kijken en via de chat vragen stellen. Pak een drankje erbij en leun achterover (of ga op het puntje van je stoel zitten ;-)) en enjoy!

Waarom dit event?

Computest - en daarmee ook Sector 7 - vindt het belangrijk om onze kennis te delen binnen een breed publiek: zowel voor technische mensen, als niet-technisch. Wij geloven dat je met meer kennis de wereld een stukje veiliger kan maken, niet alleen binnen organisatie maar ook erbuiten.

Sector_7_BLACK_RGB - ktenbrink@computest.nl's conflict 06.14.2021_16.31.16.png

Eerder publiceerden we bijvoorbeeld ook de technische details van car hack middels een rapport dat nog steeds regelmatig wordt geraadpleegd. Via de website van Sector 7 vind je meer research van Sector 7.

Daarnaast willen we mensen ook kennis laten maken met onze research department, Sector 7 - wie zijn we, wat doen we en wat is er allemaal te zien in het nieuwe high-tech lab?

Over Daan en Thijs

Daan is security researcher bij Computest en verantwoordelijk voor het Research Lab. Hij is lang geleden begonnen met het uitvoeren van reguliere pentests en heeft zich sindsdien gespecialiseerd in kwetsbaarheidsonderzoek, code auditing, reverse engineering en exploit development. Thijs is ook security researcher bij Computest. Hij vond eerder verschillende kwetsbaarheden in de macOS en iOS besturingssystemen. Hij heeft een achtergrond in wiskunde en informatica, waardoor hij veel ervaring heeft met cryptografie en het fundament van programmeertalen.

Daan en thijs.png

Wil je erbij zijn? Meld je direct aan!

Handig voor ons om te weten voorafgaand aan 27 september 2021:

  • aan ons laten weten of je de writeup hebt gelezen en zo ja;
  • of je op voorhand al vragen hebt waar je graag het antwoord op hoort bij de presentatie.

Deze informatie in je in het opmerkingen-veld kwijt in onderstaand formulier. Je kunt ook een mail sturen naar trainingen@computest.nl met je gegevens en bovenstaande informatie. Heb je nog vragen? Laat het ons dan ook weten!

Inschrijven voor het event? Meld je hier aan!

Schakel JavaScript in om dit formulier te gebruiken

Sector 7

Zou je in contact willen komen met onze researchers? Mail of bel

Deze website werkt het beste met JavaScript ingeschakeld