Tenable Researchアドバイザリー:Zoomの不正なコマンド実行の脆弱性（CVE-2018-15715）

Tenableの研究者、David Wellsは、Zoomのデスクトップ会議アプリケーションの脆弱性を発見しました。この脆弱性を悪用すると、攻撃者は画面コントロールを乗っ取り、チャットメッセージを偽装したり、出席者を会議から退出させたり出席できないようにすることができます。ZoomはmacOS、Windows、Linuxの更新プログラムをリリースしました。

• 知っておくべきこと Tenable Researcherは、Zoomのデスクトップ会議アプリケーションの脆弱性を発見しました。

• 攻撃経路とは？　Zoomのイベントメッセージングポンプによる不正なコマンド実行。

• 事業影響度は？　攻撃者は発表者のデスクトップのコントロールを乗っ取り、チャットメッセージをスプーフィングし、Zoom会議から出席者を退出させることができます。

• 解決策　Zoomはデスクトップ会議アプリケーションの更新プログラムをリリースしました。

背景

Tenableは、チャットメッセージのなりすましや画面コントロールのハイジャックを実行し、出席者を退出させ、会議に出席できないようにする、不正なZoomコマンドの実行を可能にする、Zoomデスクトップ会議アプリケーションの脆弱性 CVE-2018-15715を発見しました。この脆弱性は、いくつかのシナリオで悪用される可能性があります。1) Zoom会議の出席者が不正行為を行う可能性があります。 2) ローカルアクセスネットワーク（LAN）上の攻撃者または、3）広域ネットワーク（WAN）上のリモート攻撃者が、理論上、進行中のZoom会議を乗っ取るためにこの脆弱性を利用する可能性があります。シナリオ3は複雑なので、完全に試験することはできませんでした。これについては、後で詳しく説明します。

分析

このバグは、Zoomの内部メッセージング・ポンプ（util.dll！ssb :: events_t :: loop）が、クライアントのUDP（User Datagram Protocol）とTCP（Transmission Control Protocol）メッセージの両方にssb_sdk.dllの同じハンドラにメッセージ(from util.dll!ssb::select_t::loop)をディスパッチするためです。これにより、攻撃者は、許可されたZoomサーバーによって使用される信頼できるTCPチャネルから処理されたメッセージとして解釈されるUDPパケットを作成して送信することができます。

Zoom会議の出席者だけでなく、リモートの攻撃者もスプーフィングされたUDPパケットを作成し、進行中のズーム会議の既存のUDPセッションに入れ、このバグを悪用して攻撃することができます。 これは、1対1（P2P）の会議およびZoomサーバーを介してストリーミングされるグループ会議の両方に影響を及ぼします。また、UDPパケットでパケット送信元IPアドレスをスプーフィングすることができれば、攻撃者は理論的にWAN経由でこの脆弱性を悪用する可能性があります。 このシナリオでは、リモートの攻撃者は、WAN IPをスプーフィングして、会議中にZoomサーバーでUDPセッションに使用している被害者の送信元ポートを簡単に強制することにより、この脆弱性を悪用します。

この脆弱性を悪用すると攻撃者（LANまたはWAN経由）または不正な参加者は次のことをできます。

1. 画面のコントロールをハイジャック： 会議出席者の画面共有中に画面コントロールの許可をバイパスし、キーストロークとマウス移動を送信してデスクトップを完全に制御する。
2. なりすましチャットメッセージ： 会議で他のユーザーになりすましてチャットメッセージを送信する。
3. 出席者を会議から退出させる： ホストに会っていない場合でも、出席者を退出させ、会議に出席できないようにする。

この脆弱性を悪用すると、攻撃者は発表者の画面を乗っ取って電卓を開く（以下のリンクのビデオを参照）だけでなく、マルウェアをダウンロードして実行することができます。このような攻撃を実際に実行するには、被害者によるUDPパケットの消失（キーストロークパケットの消失）とキーストロークシーケンスの中断を克服する必要があります。

概念実証

Wellsは、この脆弱性の概念実証 (PoC)を開発しました。以下の概念実証ビデオでは、不正な会議出席者がUDPパケットを送信し、強制的に発表者の画面を制御し、電卓を開けることを示しています。

事業影響度

Zoomのような会議サービスは、チームが世界中に分散している企業内では遍在化しています。Zoomのウェブサイトによると、750,000社以上の企業がエンタープライズビデオ通信プラットフォームを使用しています。このような脆弱性が悪用されると、混乱を引き起こしたり、評判に対する深刻な悪影響が発生する可能性があります。

ソリューション

Zoomは、サーバーにパッチを適用して攻撃ベクトルの一部をブロックし、脆弱性を修正するためにバージョン4.1.34814.1119（Windows）およびバージョン4.1.34801.1116（macOS）をリリースしました。

12月3日の最新情報： Zoomは、この脆弱性を修正するためにバージョン2.5.146186.1130（Linux）をリリースしました。

影響を受けているシステムの特定

私たちは、この脆弱性が次のZoomのバージョンに影響を与えることを確認しました。

• macOS 10.13、Zoom 4.1.33259.0925
• Windows 10、Zoom 4.1.33259.0925
• Ubuntu 14.04, Zoom 2.4.129780.0915

Tenableは脆弱なシステムを識別するためのNessusプラグインをリリースしました。プラグインはこちらからご確認いただけます（ Windows、macOS）。

追加情報

• Zoomリリースノート
• Tenable Researchアドバイザリー

現代のアタックサーフェスを総合的に管理するCyber Exposureプラットフォーム、Tenable.ioの詳細はこちら。Tenable.io Vulnerability Managementの60日間無料トライアルをお試し下さい。