Apple、Malware Removal Tool v1.46を公開。ビデオ会議サービスZoomと同じくユーザーの許可なしにMac内にWebサーバーを作るRingCentralやZhumuなどに対応。

スポンサーリンク

 AppleがMalware Removal Tool v1.46を公開し、ビデオ会議サービスZoomと同じくユーザーの許可なしにMac内にWebサーバーを作るRingCentralやZhumuなどに対応しています。詳細は以下から。

Zoomのアイコン

 Appleは現地時刻2019年07月16日、Macに入り込んだマルウェアを検出し削除するセキュリティ機能Malware Removal Toolをv1.46へアップデートし、先週から問題となっているビデオ会議サービス「Zoom」と同じくユーザーの許可なしにローカルにWebサーバーを作成し、DoSやカメラが乗っ取られる可能性のある脆弱性が確認された「RingCentral」や「Zhumu」などに対応しています。

MRT v1.46

 MRT v1.46ではAppleがZoomのWebサーバーに付けたIDMACOS.354c063が拡張され、「Family354c063」として、以下のリモート会議サービスのOpener(Webサーバー)ディレクトリを削除します。

MRTConfigData

MRT v1.46で削除されるWebサーバー

  • AT&T Video Meetings
    • ~/.attvideomeetingsopener
  • BizConf
    • ~/.bizconfopener
  • BT Cloud Phone Meetings
    • ~/.btcloudphonemeetingsopener
  • Huihui
    • ~/.huihuiopener
  • Office Suite HD Meeting
    • ~/.officesuitehdmeetingopener
  • RingCentral
    • ~/.ringcentralopener
  • Telus Meetings
    • ~/.telusmeetingsopener
  • UMeeting
    • ~/.umeetingopener
  • Zhumu
    • ~/.zhumuopener
  • Zoom
    • ~/.zoomopener
  • Zoom CN
    • ~/.zoomcnopener

 この問題をZoomやAppleに報告してきたセキュリティ研究者のJonathan Leitschuhさんによると、今回のMRTアップデートで削除されたWebサーバーには悪意のあるWebサーバーにアクセスするだけでカメラが乗っ取られてしまう脆弱性(CVE-2019–13450)の他に、Webサーバーに対するDoS攻撃(CVE-2019–13449)の危険性があり、

これらの脆弱性のタイムラインについては以下の通りで、MRTのアップデートは数日で自動的にロールアウトされますが、気になる方はシステムレポートやsoftwareupdateコマンドでチェック&アップデートしてみてください。

Zoom脆弱性のタイムライン

  • 2019年07月08日
    ▶InfoSecのセキュリティ研究者Jonathan Leitschuhさんが「Zoom for Mac」クライアントに悪意のあるWebサイトにアクセスするだけでMacのカメラが乗っ取られてしまう脆弱性がるとMediumに投稿。
  • 2019年07月09日
    ▶Zoom CEOのEric S. Yuanさんがグループチャットでこの問題を認め、暫定的な対処法と今後の修正を発表。
  • 2019年07月09日
    ▶Zoomがこの脆弱性を修正し、隠されたWebサーバー(localhost)を削除する機能を搭載したJuly 9 Patchを公開。
  • 2019年07月10日
    ▶これまでにZoomアプリをインストールしたユーザーのMacから隠されたWebサーバーを削除するため、AppleがMacに入り込んだマルウェアを検出し削除するセキュリティ機能Malware Removal Toolをアップデートし、”~/.zoomus”を削除する機能を追加したと発表。
  • 2019年07月12日
    ▶Zoomデーモン(Webサーバー)だけを残してZoomアプリを削除すると、RCEが可能になる脆弱性が確認される。
  • 2019年07月14日
    ▶会議を開始する前にビデオ(カメラを有効)を利用し、常にビデオプレビュー画面を表示するオプションを追加(デフォルトでON)。
  • 2019年07月15日
    ▶ビデオ会議サービスRingCentralやZhumuにも同様の脆弱性が発覚し、開発元がアップデートやパッチを配布。
  • 2019年07月16日New
    ▶Appleが今回の件で2度目のMRTアップデート(v1.46)を公開し、Zoomと同様のビデオ会議サービスRingCentralやZhumuなどがインストール時に作るWebサーバーを削除。
スポンサーリンク

AppleのMRTについて

softwareupdate-i MRTConfigData-1-46-include-config-data

  • Malware Removal Toolのバージョンの確認
  • defaults read /System/Library/CoreServices/MRT.app/Contents/Info.plist CFBundleShortVersionString
  • XProtectやMRTアップデートの確認
  • softwareupdate -l --include-config-data
  • MRTConfigData-X.XXのインストール
  • softwareupdate -i MRTConfigData-X.XX --include-config-data
匿名の方から頂いた情報によると、これらのアプリを提供している会社はMac用クライアントをある中国のソフトウェア会社へ開発依頼(アウトソーシング)していたようです。