Zoom ゼロデイ脆弱性の特殊性:Google Project Zero の研究者が語る

Google Details Two Zero-Day Bugs Reported in Zoom Clients and MMR Servers

2022/01/21 TheHackerNews — 人気の高いビデオ会議ソリューション Zoom の、ゼロクリック攻撃領域を調査した結果として、これまで公表されていなかった2つの脆弱性が発見された。これらの脆弱性が悪用されると、サービスのクラッシュ/悪意のコードの実行/メモリの任意の領域のリークが可能となる。昨年に、この2つの脆弱性を発見/報告した Google Project Zero の Natalie Silvanovich によると、この問題は、Zoom クライアントおよび、オンプレミス環境でクライアント間の音声/映像コンテンツを伝送する Multimedia Router (MMR) サーバーに影響するという。

その後、Zoom は 2021年11月24日に、アップデートの一部として、この弱点に対処した。このゼロクリック攻撃の目的は、リンクをクリックするなどのユーザーの操作を一切必要とせずに、被害者のデバイスを密かに制御することである。ゼロクリック攻撃の具体的な手法は、悪用される脆弱性の性質により異なるが、ゼロクリック攻撃の主な特徴は、悪意の行為の痕跡を残さないため、検知が非常に困難であることだ。

Google Project Zero が確認した2つの欠陥は、以下の通りである。

  • CVE-2021-34423 (CVSS:9.8) – バッファ・オーバーフローの脆弱性:悪用により、サービスやアプリケーションのクラッシュおよび、任意のコード実行を許すことがある。
  • CVE-2021-34424 (CVSS:7.5) – プロセス・メモリの露出の脆弱性:メモリの任意の領域への侵入に利用される可能性がある。

    Silvanovich は、IP ネットワーク上での音声/動画の配信に使用される RTP (Real-time Transport Protocol) トラフィックを解析した結果として、不正なチャット・メッセージの送信により、異なるデータタイプの読み取りをサポートする、バッファ内容の操作が可能なことが発見され、Zoom クライアントと MMR サーバーのクラッシュにいたることが確認された。

    さらに、文字列の終わりを判断するために使用される、NULL チェックが行われていないため、Web ブラウザ経由で Zoom ミーティングに参加すると、メモリからデータがリークする可能性が生じた。また、このメモリ破壊の欠陥は、Zoom が ASLR (Address Space Layout Randomization) を有効にしていなかったことに起因するとしている。

    Silvanovich は、「Zoom MMR プロセスに ASLR がないことで、攻撃者が MMR を侵害するリスクが大きくなった。メモリ破壊の悪用を防ぐ上で、最も重要な緩和策が ASLR であることに間違いはない。したがって、ほとんどの緩和策が効果を発揮するのは、何らかの形で ASLR に依存していることになる。一般的に、ソフトウェアで ASLR が無効にされていることに、正当な理由はない」と述べている。

    数多くのビデオ会議システムにおいて、マルチメディア通信を実現するために WebRTC や PJSIP などのオープンソース・ライブラリが使用されているが、Zoom が独自のフォーマットやプロトコルを使用していることを、Project Zero は指摘している。また、高額のライセンス料 ($ 1,500) が、セキュリティ研究者にとって障害になっているとも述べている。

    Silvanovich は、「クローズド・ソースのソフトウェアには、セキュリティ上の課題があるため、セキュリティ研究者や評価を希望する人々が、Zoom プラットフォームにアクセスし易くなるよう、もっと努力すべきだ。Zoom のセキュリティ・チームは、サーバー・ソフトウェアに関するアクセスやコンフィグレーションを手伝ってくれたが、他の研究者がサポートを受けられるかどうかは明らかではない。また、ソフトウェアのライセンス料は高額すきる」と述べている。

一連の問題が、2021年11月に FIX しているので、記事にしても良いというタイミングですね。そこで、Google Project Zero からの、もっとセキュリティ・コミュニティを活用すればという、アドバイスが送られたのでしょう。Zoom の脆弱性などに関しては、2021年8月28日の「Microsoft 警告:Office 365 や Zoom を装うフィッシングが流行っている」や、2021年11月12日の「Zoom に複数の深刻な脆弱性:マニュアルでのアップデートが必要」などがあります。また、2021年11月1日の「Slack/Teams/Zoom などによる攻撃面積の拡大を理解する」も興味深い内容となっています。

%d bloggers like this: