Apr 5, 2020

zoomいろいろ

FBI Warns of Teleconferencing and Online Classroom Hijacking During COVID-19 Pandemic (03/30)

https://www.fbi.gov/contact-us/field-offices/boston/news/press-releases/fbi-warns-of-teleconferencing-and-online-classroom-hijacking-during-covid-19-pandemic

事件報告
 2020年3月下旬、マサチューセッツ州の高校で、教師がテレビ会議ソフトウェアZoomを使用してオンラインクラスを行っている間に、身元不明の個人が教室にダイヤルしたと報告しました。 この個人は冒とく的な言葉を叫び、それから指導の途中で先生の自宅の住所を叫びました。
 マサチューセッツにある2番目の学校は、身元不明の個人がZoomミーティングにアクセスしていることを報告しました。 この事件では、個人はビデオカメラで見ることができ、卍の入れ墨が表示されていました。

電話会議の乗っ取りの脅威を軽減するには、次の手順を実行
・会議や教室を公開しない。ミーティングパスワードを要求するか、待合室機能を使用してゲストの許可を制御する。
・SNSで、テレビ会議や教室へのリンクを共有しない。
・画面共有オプションを管理。画面共有を「ホストのみ」に変更する。
・最新のバージョンを使用する。
・最後に、組織のテレワークポリシーまたはガイドが物理的および情報セキュリティの要件に対応していることを確認してください。 
他に『更新プログラムでは、電話会議ソフトウェアプロバイダーはデフォルトで会議のパスワードを追加し、参加する会議をランダムにスキャンする機能を無効にしました』ってアレゲだ。

Zoomに複数の脆弱性が判明 Web会議の「乗っ取り」被害、全米で相次ぐ (04/02)

https://www.itmedia.co.jp/enterprise/articles/2004/02/news058.html
技術情報サイトの「Bleeping Computer」は2020年3月31日、Zoom Windowsクライアントのチャット機能にUNCパス関連の脆弱性が見つかったと伝えた。悪用された場合、不正なリンクをクリックしたユーザーのWindows認証情報が盗まれる恐れがある。

ユーザーがこのUNCパスのリンクをクリックすると、WindowsはSMBファイル共有プロトコルを使ってリモートのサイトに接続し、指定されたファイルを開こうとする。その際にWindowsはデフォルトで、ユーザーのログイン名とNTLMパスワードハッシュを送信する。これを「Hashcat」のような無料ツールでクラッキングすれば、ユーザーのパスワードを見破ることが可能だという。

セキュリティ専門家はこれについて「UNCリンクをクリックさせてプログラムを起動させることも可能だ」と指摘している。

Zoomについては、ユーザーの情報がFacebookに送られていたことが発覚するなど、セキュリティやプライバシーを巡る問題が立て続けに浮上している。

Zoom : Security Vulnerabilities 

https://www.cvedetails.com/vulnerability-list/vendor_id-2159/Zoom.html
ここの一覧が見やすい。以下、CVE情報を挙げておく。

CVE-2019-13567 

https://www.cvedetails.com/cve/CVE-2019-13567/
CVSS Score 6.8
macOSの4.4.53932.0709以前のZoom Clientでは、CVE-2019-13450とは異なる脆弱性であるリモートコードの実行が可能です。ZoomOpener デーモン(別名:隠しウェブサーバ)が実行されているにもかかわらず、Zoom Client がインストールされていないか、または開くことができない場合、攻撃者は悪意を持って細工された起動 URL を使ってリモートでコードを実行することができます。注意: ZoomOpenerは、このツールが有効で2019-07-10 MRTConfigDataを持っている場合、Apple Malware Removal Tool (MRT)によって削除されます。
発行日 : 2019-07-12 最終更新日 : 2019-08-30 

↑ 注意。「macOSの」とされているが、下の方の『Products Affected By CVE-2019-13567』の一覧には、それ以外のOS向けも色々含まれている。

CVE-2019-13450 

https://www.cvedetails.com/cve/CVE-2019-13450/
CVSS Score 4.3
macOS上のZoom Client 4.4.4.4~RingCentral 7.0.136380.0312 では、リモート攻撃者がビデオカメラをアクティブにした状態でユーザーにビデオ通話に強制的に参加させることができます。これは、任意の Web サイトがローカルホストポート 19421 または 19424 で Zoom Web サーバーと対話できるために発生します。注: Zoom クライアントが過去にインストールされた後にアンインストールされた場合、マシンは脆弱なままです。悪用をブロックするには、ZDisableVideo環境設定および/またはWebサーバーを殺す、~/.zoomusディレクトリを削除する、~/.zoomusプレーンファイルを作成するなどの追加の手順が必要です。
公開日 : 2019-07-09 最終更新日 : 2019-07-16 

CVE-2018-15715 

https://www.cvedetails.com/cve/CVE-2018-15715/
CVSS Score 7.5
Windows (バージョン 4.1.34814.1119 以前)、Mac OS (バージョン 4.1.34801.1116 以前)、および Linux (2.4.129780.0915 以下) の Zoom クライアントは、不正なメッセージ処理に対して脆弱です。リモートの認証されていない攻撃者は、ターゲット クライアントの機能を呼び出すために、会議の出席者または Zoom サーバからの UDP メッセージを詐称することができます。これにより、攻撃者は会議の出席者を削除したり、ユーザーからのメッセージを詐称したり、共有画面を乗っ取ったりすることが可能になります。
公開日 : 2018-11-30 最終更新日 : 2019-10-09 

CVE-2014-5811 

https://www.cvedetails.com/cve/CVE-2014-5811/
CVSS Score 5.4
Android用アプリ「ZOOM Cloud Meetings (aka.us.zoom.videomeetings)」の@7F060008は、SSLサーバーからのX.509証明書を検証していないため、中間者攻撃者がサーバーになりすまし、細工された証明書を介して機密情報を取得することができます。
公開日 : 2014-09-09 最終更新日 : 2014-09-20 

Zoom あれこれ(various)  (04/02)

http://www.st.ryukoku.ac.jp/~kjm/security/memo/2020/04.html#20200402_zoom

Zoom爆撃と予防策についてまとめてみた (04/02)

https://piyolog.hatenadiary.jp/entry/2020/04/03/154449
--> 04/07 追記

危なっかしさが良く分かる記事(↓)

Linux用zoomパッケージ:お粗末なメンテナスクリプト (04/06)

https://security.sios.com/guest/linuxzoom.html
--> 04/08 追記

Zoom、北米のWeb会議の暗号キーを誤って中国データセンター経由にした問題について説明 (04/05)

https://www.itmedia.co.jp/news/articles/2004/05/news010.html

 Zoomは米国に拠点を置く企業だが、中国にも拠点がある。もし中国政府がZoomの中国拠点に対し、ユーザー情報の開示を求めれば、Zoomはこれを拒否できず、データが中国政府にわたる可能性があるとCitizen Labは指摘した。

 また、エンドツーエンドの暗号化を主張していることに関しも、Citizen Labは政府や医療関係者、機密情報を持つ企業など、強力なプライバシーと機密性を必要とする場合は、現時点ではZoomを利用しないことを強く勧めた。

No comments: