Macのカメラが乗っ取られてしまう脆弱性が発覚した「Zoom」を削除することで、隠されたWebサーバーからRCEが可能になる脆弱性が確認される。

CVE-2019-13567 Remotely Execute Code Zoom
記事内に広告が含まれています。
スポンサーリンク

 Macのカメラが乗っ取られてしまう脆弱性が発覚した「Zoom」を削除することで、隠されたWebサーバーからRCEが可能になる脆弱性が確認されています。詳細は以下から。

Zoomのアイコン

 先週より、米Zoom Video Communications, Inc.が提供するリモート会議システム「Zoom Meeting」のMac用クライアントに悪意のあるWebサイトにアクセスするだけでMacのカメラが乗っ取られてしまう脆弱性が確認され、その脆弱性の原因となっているWebサーバーがZoomを1度でもインストールしたユーザーのMacに残っているままとなっていることが発覚し、Appleが対応するまでになっていますが、

Security Update and Our Ongoing Efforts

Zoom脆弱性のタイムライン

  • 2019年07月08日
    ▶InfoSecのセキュリティ研究者Jonathan Leitschuhさんが「Zoom for Mac」クライアントに悪意のあるWebサイトにアクセスするだけでMacのカメラが乗っ取られてしまう脆弱性がるとMediumに投稿。
  • 2019年07月09日
    ▶Zoom CEOのEric S. Yuanさんがグループチャットでこの問題を認め、暫定的な対処法と今後の修正を発表。
  • 2019年07月09日
    ▶Zoomがこの脆弱性を修正し、隠されたWebサーバー(localhost)を削除する機能を搭載したJuly 9 Patchを公開。
  • 2019年07月10日
    ▶これまでにZoomアプリをインストールしたユーザーのMacから隠されたWebサーバーを削除するため、AppleがMacに入り込んだマルウェアを検出し削除するセキュリティ機能Malware Removal Toolをアップデートし、”~/.zoomus”を削除する機能を追加したと発表。
  • 2019年07月12日New
    ▶Zoomデーモン(Webサーバー)だけを残してZoomアプリを削除すると、RCEが可能になる脆弱性が確認される。
  • 2019年07月13日以降
    ▶今週末には「常にビデオ機能をOFFにする」オプションを追加したMac用クライアントを公開予定。

一連の脆弱性を調査/公開したInfoSecのセキュリティ研究者Jonathanによると、このZoomのデーモン(Webサーバー)にリモートコード実行(RCE)の脆弱性「CVE-2019-13567」が発見されたそうです。

The Zoom Client before 4.4.53932.0709 on macOS allows remote code execution, a different vulnerability than CVE-2019-13450. If the ZoomOpener daemon (aka the hidden web server) is running, but the Zoom Client is not installed or can’t be opened, an attacker can remotely execute code with a maliciously crafted launch URL.

CVE-2019-13567

この脆弱性はZoom for Mac v4.4.53932.0709より前のZoomクライアントをインストールした際にインストールされるWebサーバーを残してZoomクライアントが削除された場合に発生するもので、悪意のあるURLを実行させるだけでRCEが可能になります。

CVE-2019-13567 Remotely Execute Code

ZoomのWebサーバーを削除する

 このRCE脆弱性は、脆弱性のあるアプリを削除することで発生するという稀なケースですが、上記の通り、既にAppleがこのWebサーバーを削除する「MRTConfigData v1.45」のロールアウトを開始しているので、Appleメニューから → [システムレポート] → [システム情報] → [ソフトウェア]のインストール項目、または以下のdefaultsコマンドでMRTConfigDataのバージョンを確認し、

MRTConfigData v1.45

MRTがv1.45より前の場合は、以下の”softwareupdate”コマンドで強制的にアップデート可能で、アップデート後Macを再起動することでWebサーバー”~/.zoomus”が削除されるようになっているので、過去にZoom for Macクライアントをインストールされた方は確認してみてください。

softwareupdate MRTConfigData v1.45

AppleのMRTについて

macOS Security Overview

  • Malware Removal Toolのバージョンの確認
  • defaults read /System/Library/CoreServices/MRT.app/Contents/Info.plist CFBundleShortVersionString
  • XProtectやMRTアップデートの確認
  • softwareupdate -l --include-config-data
  • MRTConfigData-x.xxのインストール
  • "softwareupdate -i MRTConfigData-x.xx --include-config-data
  • CVE-2019–13449 : Webサーバー(localhost)に対するDoS攻撃。
  • CVE-2019–13450 : 悪意のあるWebサイトへアクセスするだけでMacのカメラが乗っ取られてしまう脆弱性。
  • CVE-2019-13567 : Zoom for Macのデーモン(aka Webサーバー)にリモートコード実行の脆弱性。

コメント

タイトルとURLをコピーしました