Zoomがアカウント乗っ取りの脆弱性を修正

「緊急」と分類されたこのバグは社内で検出されたものであり、コンサルタントらはユーザーや第三者による発見とは異なり歓迎すべき変化だと述べています。

Zoomは、「ネットワークアクセスを介して未認証のユーザーがアカウント乗っ取りを行う可能性がある」という深刻なセキュリティ上の欠陥を発見し、修正しました。

この問題は、Zoomの利用範囲の広さを考えると特に重大です。報告によれば、Zoomは1日あたり3億人を超えるアクティブユーザーを抱え、有料の法人顧客数は47万に上るとされています。この規模を踏まえると、Zoomはこれまでにも数多くのセキュリティインシデントに見舞われてきました。また、フランスは最近、フランス政府職員によるZoomの利用禁止を試みています

火曜日に公開されたZoomのセキュリティ情報により、この脆弱性を含む計4件のセキュリティ問題が明らかになり、Zoomは水曜日にこれらを修正しました。

Zoomは当初、この乗っ取り関連の脆弱性はバージョン7.0.0より前のZoom Desktop Client for Windows、バージョン7.0.10より前およびそれぞれのブランチにおけるバージョン6.6.15・6.5.18より前のZoom VDI Client for Windows、そしてZoom Meeting SDK for Windowsに影響すると説明していました。しかし水曜日になって、説明のないままZoom Meeting SDK for Windowsを影響製品リストから除外しました。

残る3件の脆弱性はそれよりも深刻度は低いものの、依然として重要な問題であり、いずれも権限昇格に関わるものでした。これらはバージョン7.0.5より前のZoom Workplace for Windows、それぞれのブランチにおけるバージョン6.5.17・6.6.14より前のZoom Workplace VDI Client for Windows、それぞれのブランチにおけるバージョン6.5.17・6.6.14より前のZoom Workplace VDI plugin for Windows、バージョン7.0.5より前のZoom Rooms for Windows、そしてバージョン7.0.0より前のRemote Control for Zoom Contact Center for Windowsに影響します。

2件目の権限昇格の脆弱性はバージョン7.1.0より前のZoom Rooms for Windowsに、もう1件はバージョン6.6.14より前のZoom Workplace VDI Pluginに影響します。

Zoomはコメント要請に直ちに応じませんでした。

「これ以上ないほど深刻」

IDCのセキュリティ部門グループ担当バイスプレジデントであるフランク・ディクソン氏は、今回報告された脆弱性の性質について警戒感を示しました。

このバグは「ワームでない限り、これ以上ないほど深刻なものです。ネットワーク経由で悪用可能であり、複雑さは低く、権限は一切不要で、ユーザーの操作も必要ありません」と同氏は述べ、技術的な詳細が漏洩するか、あるいは誰かがパッチをリバースエンジニアリングすれば容易に悪用されると指摘しました。しかもAIの登場により、パッチの解析はかつてほど難しい作業ではなくなっています。「かつてのスクリプトキディたちが、力を得てしまったのです」と同氏は語りました。

ディクソン氏によれば、唯一の朗報はZoom自身がこの脆弱性を発見した点であり、「木曜日時点でいずれの報道機関からも実際の悪用は報告されていません」とのことです。

FormerGovの事務局長を務めるコンサルタントのブライアン・レバイン氏もディクソン氏の見解に同意する一方で、Zoomがアクセスできる機密データの量の多さこそがより大きな問題になり得ると指摘しました。

「Zoomアカウントに無制限にアクセスできる攻撃者は、機密性の高い会議の録画を聴取したり、今後の会議を盗聴したり、組織になりすまして顧客やパートナーに対するソーシャルエンジニアリングを仕掛けたりできる可能性があります。大企業におけるZoomの普及率の高さを考えると、この脆弱性はかなり懸念すべきものです」とレバイン氏は述べています。

ただし同氏は、Zoomが自らこの欠陥を発見したことを評価しており、これはZoomのセキュリティチームが「地味で骨の折れるコード監査作業を実際に行っている」証拠だと述べています。

Malwarebytesの主任セキュリティリサーチャーであるジュゼッペ・トロッタ氏は、今回のZoomの開示の背景について独自の見解を持っています。

「この脆弱性は権限を一切必要とせず、ユーザーの操作も一切不要であることから、リモートネットワーク経由の攻撃ベクトルには、zoommtg://zoomworkplace://のようなカスタムURLスキームを含むディープリンクの処理不備が関わっている可能性が非常に高いと考えられます」と同氏は述べました。この点から同氏は、Windows向けZoom Workplaceクライアントがこうしたブラウザとデスクトップアプリ間の特殊なリンク経由で渡される引数を適切にサニタイズ・検証できていない場合、未認証の攻撃者が悪意のある文字列を作成し、デスクトップアプリケーションを騙してユーザーのアクティブなセッショントークンを攻撃者が管理するサーバーに直接暴露あるいはリダイレクトさせ、円滑かつ完全にサイレントなアカウント乗っ取りを実現できる可能性があると考えています。

「WindowsまたはVDI環境を利用していて、まだアップデートを済ませていない場合は、Zoomのリンクや招待には注意してください」と同氏は助言しています。

Aikido Securityのエンタープライズ担当CISOであるマイク・ウィルクス氏は、この重大な欠陥を発見したことについてZoomを称賛しつつも、そもそもこれほど深刻なバグがどのようにしてソフトウェアに紛れ込んだのかを疑問視しました。

「この脆弱性は、設計レビューやファジング、あるいはリリース前の悪用ケーステストでなぜ検出されなかったのかという疑問を投げかけています」とウィルクス氏は述べました。「Zoomの製品開発とセキュリティの関係には、セキュリティリスクよりも使いやすさを優先してきたという過去からの問題点があります。」

4件すべてが重要な脆弱性

コンサルティング会社Acceligenceの最高経営責任者(CEO)であるジャスティン・グレイス氏は、Zoomが報告したアカウント乗っ取りと権限昇格という2種類の脆弱性は、いずれも重要ではあるものの、その理由はそれぞれ異なると述べています。

「今回の重大な脆弱性が重要なのは、セキュリティチームが最も懸念する特徴を備えているからです」とグレイス氏は述べる一方で、権限昇格の脆弱性についても「すでに始まっている攻撃の影響を拡大させるものであるため、修正することは間違いなく重要です。しかし、重大な脆弱性の方は侵入の初期経路となり得るため、最も注意を払うべき対象です」と語りました。

グレイス氏はまた、Zoomの対応についても称賛し、「比較的成熟したセキュリティプログラムを反映している」と評価しています。

同氏は、どれほど複雑なソフトウェアプラットフォームであっても脆弱性を完全になくすことはできないと指摘しています。「重要な違いを生むのは、ベンダーが攻撃的なテストに継続的に投資し、攻撃者より先に弱点を見つけ出し、迅速に修正パッチを開発・配布しているかどうかです」と同氏は述べました。

この記事はもともとComputerworldに掲載されたものです。

翻訳元: https://www.csoonline.com/article/4197962/zoom-patches-account-takeover-hole-2.html

ソース: csoonline.com