マイク・ピーターソン
· 2分で読めます
マルウェア
セキュリティ研究者がmacOS版Zoomに脆弱性を発見した。この脆弱性により、攻撃者はルートアクセスを取得し、オペレーティングシステム全体を制御できる可能性があるが、この問題はまだ完全には修正されていない。
The Vergeによると、元 NSA 勤務のベテランセキュリティ研究者パトリック・ウォードル氏が、金曜日にラスベガスで開催された Defcon カンファレンスでのプレゼンテーションで研究結果を発表した。
この攻撃は、macOS版Zoomのインストーラーを悪用することで実行されます。このインストーラーでは、MacからZoomをインストールまたはアンインストールするために特別なユーザー権限が必要です。具体的には、Wardle氏は、このインストーラーに自動更新機能があり、昇格された権限でバックグラウンドで実行され続けることを発見しました。
Zoomがビデオ会議プラットフォームのアップデートをリリースするたびに、自動アップデート機能は正規のアップデートであることを確認した上でインストールしていました。しかし、暗号検証方法に欠陥があり、攻撃者が悪意のあるファイルがZoomによって署名されていると誤認させる可能性がありました。
アップデータはスーパーユーザー権限で実行されるため、攻撃者はアップデート機能を通じてあらゆるプログラムを実行し、その権限を取得できることをWardle氏は発見しました。そして、Zoomはこの脆弱性を数ヶ月間放置していました。
「Zoomにバグを報告しただけでなく、ミスやコードの修正方法も報告していたので、私にとってはちょっと問題でした」とウォードル氏はThe Vergeに語った。「Mac版のZoomがすべてユーザーのコンピューターに脆弱性を抱えたまま放置されているのを知りながら、6ヶ月、7ヶ月、8ヶ月も待つのは本当にイライラしました」
この脆弱性は権限昇格攻撃として、攻撃者がMac上で「ルート」または「スーパーユーザー」権限を取得できる可能性があります。理論的には、マシン上のあらゆるファイルの追加、削除、または変更が可能になる可能性があります。
ズーム社はイベントの数週間前に最初のパッチをリリースしていたが、ウォードル氏は、そのアップデートには攻撃者が引き続き欠陥を悪用できる可能性のある別のバグが含まれていたと述べた。
彼はすぐに2番目のバグを公表し、研究を発表するまで8か月待った。
ウォードル氏によると、8月のDefconカンファレンスの数ヶ月前、Zoomは当初発見したバグを修正した別のパッチをリリースしたという。しかし、この最新パッチにも依然として、攻撃者がこの脆弱性を悪用できる可能性のあるエラーが含まれている。
2つ目のバグは、Zoomの最新アップデートでも現在も発生しています。どうやら簡単に修正できるようなので、Wardle氏は、Defconでこの問題を公にすることで、Zoomが迅速にパッチをリリースしてくれることを期待しています。
自分を守る方法
この脆弱性はZoomの最新バージョンにも依然として存在するため、完全に軽減する唯一の方法は、Zoomインストーラーの使用を停止することです。さらに一歩進んで、残っているインストーラーを削除することもできます。
あるいは、ほとんどの標準 Web ブラウザから Zoom ミーティングに参加することもできます。
8 月 13 日午前 8 時 30 分 (東部標準時) に更新されました。Mac App Store の Zoom バージョンに関する誤った参照を削除しました。
