Tenable ブログ
ブログ通知を受信する
Tenable Researchアドバイザリー:Zoomの不正なコマンド実行の脆弱性(CVE-2018-15715)
Tenableの研究者、David Wellsは、Zoomのデスクトップ会議アプリケーションの脆弱性を発見しました。この脆弱性を悪用すると、攻撃者は画面コントロールを乗っ取り、チャットメッセージを偽装したり、出席者を会議から退出させたり出席できないようにすることができます。ZoomはmacOS、Windows、Linuxの更新プログラムをリリースしました。
- 知っておくべきこと Tenable Researcherは、Zoomのデスクトップ会議アプリケーションの脆弱性を発見しました。
- 攻撃経路とは? Zoomのイベントメッセージングポンプによる不正なコマンド実行。
- 事業影響度は? 攻撃者は発表者のデスクトップのコントロールを乗っ取り、チャットメッセージをスプーフィングし、Zoom会議から出席者を退出させることができます。
- 解決策 Zoomはデスクトップ会議アプリケーションの更新プログラムをリリースしました。
背景
Tenableは、チャットメッセージのなりすましや画面コントロールのハイジャックを実行し、出席者を退出させ、会議に出席できないようにする、不正なZoomコマンドの実行を可能にする、Zoomデスクトップ会議アプリケーションの脆弱性 CVE-2018-15715を発見しました。この脆弱性は、いくつかのシナリオで悪用される可能性があります。1) Zoom会議の出席者が不正行為を行う可能性があります。 2) ローカルアクセスネットワーク(LAN)上の攻撃者または、3)広域ネットワーク(WAN)上のリモート攻撃者が、理論上、進行中のZoom会議を乗っ取るためにこの脆弱性を利用する可能性があります。シナリオ3は複雑なので、完全に試験することはできませんでした。これについては、後で詳しく説明します。
分析
このバグは、Zoomの内部メッセージング・ポンプ(util.dll!ssb :: events_t :: loop)が、クライアントのUDP(User Datagram Protocol)とTCP(Transmission Control Protocol)メッセージの両方にssb_sdk.dllの同じハンドラにメッセージ(from util.dll!ssb::select_t::loop)をディスパッチするためです。これにより、攻撃者は、許可されたZoomサーバーによって使用される信頼できるTCPチャネルから処理されたメッセージとして解釈されるUDPパケットを作成して送信することができます。
Zoom会議の出席者だけでなく、リモートの攻撃者もスプーフィングされたUDPパケットを作成し、進行中のズーム会議の既存のUDPセッションに入れ、このバグを悪用して攻撃することができます。 これは、1対1(P2P)の会議およびZoomサーバーを介してストリーミングされるグループ会議の両方に影響を及ぼします。また、UDPパケットでパケット送信元IPアドレスをスプーフィングすることができれば、攻撃者は理論的にWAN経由でこの脆弱性を悪用する可能性があります。 このシナリオでは、リモートの攻撃者は、WAN IPをスプーフィングして、会議中にZoomサーバーでUDPセッションに使用している被害者の送信元ポートを簡単に強制することにより、この脆弱性を悪用します。
この脆弱性を悪用すると攻撃者(LANまたはWAN経由)または不正な参加者は次のことをできます。
- 画面のコントロールをハイジャック: 会議出席者の画面共有中に画面コントロールの許可をバイパスし、キーストロークとマウス移動を送信してデスクトップを完全に制御する。
- なりすましチャットメッセージ: 会議で他のユーザーになりすましてチャットメッセージを送信する。
- 出席者を会議から退出させる: ホストに会っていない場合でも、出席者を退出させ、会議に出席できないようにする。
この脆弱性を悪用すると、攻撃者は発表者の画面を乗っ取って電卓を開く(以下のリンクのビデオを参照)だけでなく、マルウェアをダウンロードして実行することができます。このような攻撃を実際に実行するには、被害者によるUDPパケットの消失(キーストロークパケットの消失)とキーストロークシーケンスの中断を克服する必要があります。
概念実証
Wellsは、この脆弱性の概念実証 (PoC)を開発しました。以下の概念実証ビデオでは、不正な会議出席者がUDPパケットを送信し、強制的に発表者の画面を制御し、電卓を開けることを示しています。
事業影響度
Zoomのような会議サービスは、チームが世界中に分散している企業内では遍在化しています。Zoomのウェブサイトによると、750,000社以上の企業がエンタープライズビデオ通信プラットフォームを使用しています。このような脆弱性が悪用されると、混乱を引き起こしたり、評判に対する深刻な悪影響が発生する可能性があります。
ソリューション
Zoomは、サーバーにパッチを適用して攻撃ベクトルの一部をブロックし、脆弱性を修正するためにバージョン4.1.34814.1119(Windows)およびバージョン4.1.34801.1116(macOS)をリリースしました。
12月3日の最新情報: Zoomは、この脆弱性を修正するためにバージョン2.5.146186.1130(Linux)をリリースしました。
影響を受けているシステムの特定
私たちは、この脆弱性が次のZoomのバージョンに影響を与えることを確認しました。
- macOS 10.13、Zoom 4.1.33259.0925
- Windows 10、Zoom 4.1.33259.0925
- Ubuntu 14.04, Zoom 2.4.129780.0915
Tenableは脆弱なシステムを識別するためのNessusプラグインをリリースしました。プラグインはこちらからご確認いただけます( Windows、macOS)。
追加情報
現代のアタックサーフェスを総合的に管理するCyber Exposureプラットフォーム、Tenable.ioの詳細はこちら。Tenable.io Vulnerability Managementの60日間無料トライアルをお試し下さい。
関連記事
Operational Technology in the DoD: Ensuring a Secure and Efficient Power Grid
April 19, 2024In an evolving threat landscape, the DoD must make sure that its mission-critical operations don’t experience power outages.
Strengthening the Nessus Software Supply Chain with SLSA
April 16, 2024You know Tenable as a cybersecurity industry leader whose world-class exposure management products are trusted by our approximately 43,000 customers, including about 60% of the Fortune 500. But sometimes we like to give you a peek behind the curtain to share how we protect our own house against cyberattacks – and that’s what this blog is about. Today we’re sharing our experience adopting the supply-chain security framework SLSA, with the hopes that the lessons we learned will be helpful to you.
Cybersecurity Snapshot: CISA Says Midnight Blizzard Swiped U.S. Gov’t Emails During Microsoft Hack, Tells Fed Agencies To Take Immediate Action
April 12, 2024Check out CISA’s urgent call for federal agencies to protect themselves from Midnight Blizzard’s breach of Microsoft corporate emails. Plus, a new survey shows cybersecurity pros are guardedly optimistic about AI. Meanwhile, SANS pinpoints the four trends CISOs absolutely must focus on this year. And the NSA is sharing best practices for data security. And much more!
CVE-2024-4040: CrushFTP Virtual File System (VFS) Sandbox Escape Vulnerability Exploited
April 23, 2024A zero-day vulnerability in CrushFTP was exploited in the wild against multiple U.S. entities prior to fixed versions becoming available as the vendor recommends customers upgrade as soon as possible.
Operational Technology in the DoD: Ensuring a Secure and Efficient Power Grid
April 19, 2024In an evolving threat landscape, the DoD must make sure that its mission-critical operations don’t experience power outages.
Cybersecurity Snapshot: Cyber Agencies Offer Secure AI Tips, while Stanford Issues In-Depth AI Trends Analysis, Including of AI Security
April 19, 2024Check out recommendations for securing AI systems from the Five Eyes cybersecurity agencies. Plus, Stanford University offers a comprehensive review of AI trends. Meanwhile, a new open-source tool aims to simplify SBOM usage. And don’t miss the latest CIS Benchmarks updates. And much more!
- Vulnerability Management