Zoom Workplace の複数の脆弱性が FIX:XSS 攻撃を介した悪意のスクリプト挿入の可能性

Zoom Workplace Apps Vulnerability Enables Malicious Script Injection Through XSS Flaws

2025/04/08 gbhackers — Zoom Workplaceアプリに新たに発見された脆弱性 CVE-2025-27441/CVE-2025-27442 を悪用する攻撃者は、クロスサイト・スクリプティング (XSS) により悪意のスクリプトを挿入し、世界中の数百万人のユーザーにリスクをもたらすものだ。これらの脆弱性の CVSS スコアは 4.6 Medium と評価されているが、隣接ネットワーク上の未認証の攻撃者に対して、任意のコード実行を許し、整合性を侵害する可能性があるという。

Zoom は、影響を受けるデスクトップ/モバイル/SDK バージョン向けのパッチをリリースし、ユーザーに速やかなアップデートを呼びかけ、悪用リスクの軽減を促している。

ネットワークの近接性を悪用する XSS 攻撃

この XSS の脆弱性は、Zoom のチャット/コラボレーション機能における、不適切な入力検証に起因する。パブリックな Wi-Fi や、企業のイントラネットなどの、ネットワーク・セグメント上の攻撃者に対して、この脆弱性は、セッションへの悪意のスクリプト挿入を許すとされる。

これらのスクリプトにより、ユーザー・セッションの乗っ取りや、認証情報の窃取、マルウェアの配布などの可能性が生じる。ユーザーの操作を必要とする、従来からの XSS 攻撃とは異なり、この脆弱性を悪用する攻撃者は、Zoom のネットワーク・データ・パケット処理を介して、会議中にパッシブ・インジェクションを仕掛ける可能性を手にする。

セキュリティ・アナリストたちは、隣接関係の要件により、攻撃障壁が低くなると指摘している。つまり、攻撃者にとって必要なものは、認証ではなくネットワーク・アクセスだけとなる。したがって、共有オフィス環境やハイブリッドワーク環境で、Zoom を使用する企業にとって懸念されるものである。

この脆弱性は、Zoom Workplace デスクトップ・アプリ (Windows/macOS/Linux) および、モバイル・アプリ (iOS/Android)、SDK インテグレーションに影響を与えるが、バージョン 6.3.10 以下は特に影響を受けやすいという。

この脆弱性 CVE-2025-27441/CVE-2025-27442 は、ユーザー入力に対する不十分なサニタイズに起因する。攻撃者は会議メタデータを装う悪意のペイロードを作成するが、それを Zoom が検証できないため、被害者のクライアント上でのスクリプト実行にいたる。

3つ目の脆弱性である CVE-2025-27443 (CVSS:2.8) は、Windows アプリにおける安全が確保されない変数の初期化に関連し、認証済みユーザーによる、ローカル設定の操作の可能性が生じる。

また、脆弱性 CVE-2025-30670/30671/30672 (CVSS:5.4) は、ヌル・ポインタ参照のバグでありし、認証済みの攻撃者がネットワーク・リクエストを介して、Zoomプ ロセスをクラッシュさせる可能性が生じる。

これらのサービス拒否 (DoS) 脆弱性は、より高い権限を必要とするが、パッチ適用が遅滞するとリスクが増大する。

脆弱性 CVE-2025-27441/27442 について詳述する、Zoom のセキュリティ情報 ZSB-25013 には、影響を受ける 15以上の製品について、以下のように記載されている。

  • Zoom Workplace デスクトップ 6.3.10 以下:Windows/macOS/Linux
  • Zoom Rooms コントローラー/クライアント:6.4.0 以下
  • ミーティング SDK:6.3.10 以下:Windows/macOS/Linux

Adobe は、現時点において、悪用の事例がないことを確認している。その一方で、この脆弱性の単純性を考えると、PoC コードがすぐに出現する可能性があると警告している。2020年に発生した、認証情報の漏洩の脆弱性などにおいては、パッチ適用の遅れが生じたことで、広範な悪用が生じていた。

緩和策

Zoom が推奨するのは、ダウンロード・ポータルを介した、最新バージョンへのアップデートである。IT チームにとって必要なことは、マルチテナント環境のエンドポイントを優先し、ネットワーク・セグメンテーションを実施し、異常な会議トラフィックを監視することだ。

さらに、Zoom の設定を用いて、自動リンク・プレビューを無効化することで、XSS 攻撃の攻撃対象領域を減らすことが可能になる。

私たちの生活にすっかり溶け込んでいる Zoom ですが、利用者が多い人気ツールであるだけに、2024/08/19 に投稿した「FakeBat マルウェア:Brave/KeePass/Notion/Steam/Zoom などを装い配布」のように、攻撃に悪用されるケースも見られます。Zoom のユーザーの皆さまは、アップデートを忘れないよう、お気をつけください。よろしければ、Zoom で検索も、ご利用ください。