Google 警告:Zoom のリモートコード実行の脆弱性とゼロクリックの詳細

Google Discloses Details of Zoom Zero-Click Remote Code Execution Exploit

2022/05/25 SecurityWeek — Google の Project Zero は、ビデオ会議ソフトウェア Zoom を標的とした、ゼロクリック・リモートコード実行の詳細を公開した。Project Zero の Ivan Fratric は、悪意の行為者が XMPP プロトコル上でメッセージを送信することで、ユーザーとのインタラクションを必要とせずに、チャット機能を介して Zoom ユーザーを侵害する、悪用チェーンについて説明した。Fratric が公表した悪用チェーンの1つは、XMPP Stanza Smuggling と名付けられている。

Fratric は、合計6件の脆弱性について記述している。このうちの、CVE-2022-25235/CVE-2022-25236 は、人気のオープンソースの XML parser Expat にも影響を与える。

このライブラリは、数多くのプロジェクトで使用されており、IBM や、Aruba、各種 LinuxディストリビューションOracleF5 などの、複数の主要ベンダーがアドバイザリで、一連の脆弱性がおよぼす影響を発表している。

Fratric が発見した中で、Zoom 固有の脆弱性となるのは、不適切な XML の解析 (CVE-2022-22784)、アップデート・パッケージのダウングレード (CVE-2022-22786)、ホスト名の検証不足 (CVE-2022-22787)、セッション・クッキーの不適切な制約 (CVE-2022-22785) になどであり、Zoom により説明されている

脆弱性 CVE-2022-22786 は、Windows 版の Zoom Client for Meetings/Zoom Rooms for Conference Room に影響する。その他は、すべてのデスクトップ/モバイル上の Zoom Client for Meetings に影響する。

Zoom は、サーバー側の問題については 2022年2月に、また、クライアント側の問題についても、その後にパッチを適用している。Zoom は、3月にリリースされた 5.10.0 で対応と述べているが、Fratric は、4月にリリースされた 5.10.4 で対応と述べている。

Google Project Zero は、Fratric’s bug report と PoC エクスプロイトを公開した。

研究者たちは、「脆弱性 XMPP Stanza Smuggling は、Zoom のクライアント/サーバーの XML パーサー間の解析の不一致に起因するものであり、任意の XMPP Stanza を被害者クライアントへ向けてスマグリングする。そこから、特別に細工した制御 Stanza を送信することで、攻撃者は、被害者クライアントを悪意のサーバーに接続させ、中間者攻撃に変えることができる」と説明している。

また、「最後に、クライアントのアップデート要求/応答を傍受/変更することで、被害クライアントは悪意のあるアップデートをダウンロード/実行し、任意のコードを実行することになる。クライアントのダウングレード攻撃は、アップデート・インストーラの署名チェックをバイパスするために利用される」と付け加えている。

Google Project Zero の研究者が、ビデオ会議プラットフォーム Zoom に潜む 深刻な脆弱性を発見したのは、今回が初めてではない。しかし、現在のところ、Zoom の欠陥が悪用されたとの報告はない。

Zoom のゼロクリック脆弱性とのことですが、悪用される前に FIX できてよかったですね。これまでの Zoom における脆弱性情報には、2021年11月の「Zoom に複数の深刻な脆弱性:マニュアルでのアップデートが必要」や、2011年1月の「Zoom ゼロデイ脆弱性の特殊性:Google Project Zero の研究者が語る」などがあります。そもそもですが、Zoom for Windows/macOS に自動アップデートが提供されたのが 2021年11月であり、急成長の中で、いろんなものが先送りになっているのかもしれません。先日に Statista で、Zoom Consolidates Pandemic Gains というチャートを見つけました。よろしければ、ご参照ください。

%d bloggers like this: