Apple、Malware Removal Tool v1.46を公開。ビデオ会議サービスZoomと同じくユーザーの許可なしにMac内にWebサーバーを作るRingCentralやZhumuなどに対応。

Zoom

2019.07.172020.04.15

記事内に広告が含まれています。

　AppleがMalware Removal Tool v1.46を公開し、ビデオ会議サービスZoomと同じくユーザーの許可なしにMac内にWebサーバーを作るRingCentralやZhumuなどに対応しています。詳細は以下から。

　Appleは現地時刻2019年07月16日、Macに入り込んだマルウェアを検出し削除するセキュリティ機能「Malware Removal Tool」をv1.46へアップデートし、先週から問題となっているビデオ会議サービス「Zoom」と同じくユーザーの許可なしにローカルにWebサーバーを作成し、DoSやカメラが乗っ取られる可能性のある脆弱性が確認された「RingCentral」や「Zhumu」などに対応しています。

　MRT v1.46ではAppleがZoomのWebサーバーに付けたID「MACOS.354c063」が拡張され、「Family354c063」として、以下のリモート会議サービスのOpener(Webサーバー)ディレクトリを削除します。

MRT v1.46で削除されるWebサーバー

AT&T Video Meetings
- ~/.attvideomeetingsopener
BizConf
- ~/.bizconfopener
BT Cloud Phone Meetings
- ~/.btcloudphonemeetingsopener
Huihui
- ~/.huihuiopener
Office Suite HD Meeting
- ~/.officesuitehdmeetingopener
RingCentral
- ~/.ringcentralopener
Telus Meetings
- ~/.telusmeetingsopener
UMeeting
- ~/.umeetingopener
Zhumu
- ~/.zhumuopener
Zoom
- ~/.zoomopener
Zoom CN
- ~/.zoomcnopener

　この問題をZoomやAppleに報告してきたセキュリティ研究者のJonathan Leitschuhさんによると、今回のMRTアップデートで削除されたWebサーバーには悪意のあるWebサーバーにアクセスするだけでカメラが乗っ取られてしまう脆弱性(CVE-2019–13450)の他に、Webサーバーに対するDoS攻撃(CVE-2019–13449)の危険性があり、

A Remote Code Execution Vulnerability was present in all of these @zoom_us white label desktop apps.

This is the full list of applications that @Apple's MRT update will now silently remove from your machines for you.

If you want to be proactive, update your MRT to 1.46 https://t.co/rGlwjbQmkg

— Jonathan Leitschuh (@JLLeitschuh) 2019年7月16日

これらの脆弱性のタイムラインについては以下の通りで、MRTのアップデートは数日で自動的にロールアウトされますが、気になる方はシステムレポートやsoftwareupdateコマンドでチェック＆アップデートしてみてください。

Zoom脆弱性のタイムライン

2019年07月08日
▶InfoSecのセキュリティ研究者Jonathan Leitschuhさんが「Zoom for Mac」クライアントに悪意のあるWebサイトにアクセスするだけでMacのカメラが乗っ取られてしまう脆弱性がるとMediumに投稿。

2019年07月09日
▶Zoom CEOのEric S. Yuanさんがグループチャットでこの問題を認め、暫定的な対処法と今後の修正を発表。

2019年07月09日
▶Zoomがこの脆弱性を修正し、隠されたWebサーバー(localhost)を削除する機能を搭載した「July 9 Patch」を公開。

2019年07月10日
▶これまでにZoomアプリをインストールしたユーザーのMacから隠されたWebサーバーを削除するため、AppleがMacに入り込んだマルウェアを検出し削除するセキュリティ機能「Malware Removal Tool」をアップデートし、”~/.zoomus”を削除する機能を追加したと発表。

2019年07月12日
▶Zoomデーモン(Webサーバー)だけを残してZoomアプリを削除すると、RCEが可能になる脆弱性が確認される。

2019年07月14日
▶会議を開始する前にビデオ(カメラを有効)を利用し、常にビデオプレビュー画面を表示するオプションを追加(デフォルトでON)。

2019年07月15日
▶ビデオ会議サービスRingCentralやZhumuにも同様の脆弱性が発覚し、開発元がアップデートやパッチを配布。

2019年07月16日New
▶Appleが今回の件で2度目のMRTアップデート(v1.46)を公開し、Zoomと同様のビデオ会議サービスRingCentralやZhumuなどがインストール時に作るWebサーバーを削除。

AppleのMRTについて

Malware Removal Toolのバージョンの確認

defaults read /System/Library/CoreServices/MRT.app/Contents/Info.plist CFBundleShortVersionString

XProtectやMRTアップデートの確認

softwareupdate -l --include-config-data

MRTConfigData-X.XXのインストール

softwareupdate -i MRTConfigData-X.XX --include-config-data

匿名の方から頂いた情報によると、これらのアプリを提供している会社はMac用クライアントをある中国のソフトウェア会社へ開発依頼(アウトソーシング)していたようです。