Macのカメラが乗っ取られてしまう脆弱性が発覚した「Zoom」を削除することで、隠されたWebサーバーからRCEが可能になる脆弱性が確認される。

Zoom

2019.07.132020.04.15

記事内に広告が含まれています。

　Macのカメラが乗っ取られてしまう脆弱性が発覚した「Zoom」を削除することで、隠されたWebサーバーからRCEが可能になる脆弱性が確認されています。詳細は以下から。

　先週より、米Zoom Video Communications, Inc.が提供するリモート会議システム「Zoom Meeting」のMac用クライアントに悪意のあるWebサイトにアクセスするだけでMacのカメラが乗っ取られてしまう脆弱性が確認され、その脆弱性の原因となっているWebサーバーがZoomを1度でもインストールしたユーザーのMacに残っているままとなっていることが発覚し、Appleが対応するまでになっていますが、

Zoom脆弱性のタイムライン

2019年07月08日
▶InfoSecのセキュリティ研究者Jonathan Leitschuhさんが「Zoom for Mac」クライアントに悪意のあるWebサイトにアクセスするだけでMacのカメラが乗っ取られてしまう脆弱性がるとMediumに投稿。

2019年07月09日
▶Zoom CEOのEric S. Yuanさんがグループチャットでこの問題を認め、暫定的な対処法と今後の修正を発表。

2019年07月09日
▶Zoomがこの脆弱性を修正し、隠されたWebサーバー(localhost)を削除する機能を搭載した「July 9 Patch」を公開。

2019年07月10日
▶これまでにZoomアプリをインストールしたユーザーのMacから隠されたWebサーバーを削除するため、AppleがMacに入り込んだマルウェアを検出し削除するセキュリティ機能「Malware Removal Tool」をアップデートし、”~/.zoomus”を削除する機能を追加したと発表。

2019年07月12日New
▶Zoomデーモン(Webサーバー)だけを残してZoomアプリを削除すると、RCEが可能になる脆弱性が確認される。

2019年07月13日以降
▶今週末には「常にビデオ機能をOFFにする」オプションを追加したMac用クライアントを公開予定。

一連の脆弱性を調査/公開したInfoSecのセキュリティ研究者Jonathanによると、このZoomのデーモン(Webサーバー)にリモートコード実行(RCE)の脆弱性「CVE-2019-13567」が発見されたそうです。

🚨 RCE Alert! 🚨

That @zoom_us daemon (hidden web server) is now known to have a Remote Code Execution Vulnerability!

🚨Proof of concepts exist! 🚨

Mac Admins: make sure Zoom is up to date or that daemon is removed!

This vulnerability is now tracked under:
CVE-2019-13567 https://t.co/FxkGzYhhFD

— Jonathan Leitschuh (@JLLeitschuh) 2019年7月11日

The Zoom Client before 4.4.53932.0709 on macOS allows remote code execution, a different vulnerability than CVE-2019-13450. If the ZoomOpener daemon (aka the hidden web server) is running, but the Zoom Client is not installed or can’t be opened, an attacker can remotely execute code with a maliciously crafted launch URL.

CVE-2019-13567

この脆弱性はZoom for Mac v4.4.53932.0709より前のZoomクライアントをインストールした際にインストールされるWebサーバーを残してZoomクライアントが削除された場合に発生するもので、悪意のあるURLを実行させるだけでRCEが可能になります。

ZoomのWebサーバーを削除する

　このRCE脆弱性は、脆弱性のあるアプリを削除することで発生するという稀なケースですが、上記の通り、既にAppleがこのWebサーバーを削除する「MRTConfigData v1.45」のロールアウトを開始しているので、Appleメニューから → [システムレポート] → [システム情報] → [ソフトウェア]のインストール項目、または以下のdefaultsコマンドでMRTConfigDataのバージョンを確認し、

MRTがv1.45より前の場合は、以下の”softwareupdate”コマンドで強制的にアップデート可能で、アップデート後Macを再起動することでWebサーバー”~/.zoomus”が削除されるようになっているので、過去にZoom for Macクライアントをインストールされた方は確認してみてください。

AppleのMRTについて

Malware Removal Toolのバージョンの確認

defaults read /System/Library/CoreServices/MRT.app/Contents/Info.plist CFBundleShortVersionString

XProtectやMRTアップデートの確認

softwareupdate -l --include-config-data

MRTConfigData-x.xxのインストール

"softwareupdate -i MRTConfigData-x.xx --include-config-data

CVE-2019–13449 : Webサーバー(localhost)に対するDoS攻撃。
CVE-2019–13450 : 悪意のあるWebサイトへアクセスするだけでMacのカメラが乗っ取られてしまう脆弱性。
CVE-2019-13567 : Zoom for Macのデーモン(aka Webサーバー)にリモートコード実行の脆弱性。