ZoomのインストーラーにはmacOSのroot権限を取得できるバグがあるとセキュリティ研究者が指摘

macOSのセキュリティ研究者として著名なパトリック・ワードル氏が、ハッキングカンファレンスであるDEF CONの中で、macOS向けのZoomインストーラーに存在するバグにより、macOSのroot権限を取得できるようになっていると指摘しています。

The Zoom installer let a researcher hack his way to root access on macOS - The Verge
https://www.theverge.com/2022/8/12/23303411/zoom-defcon-root-access-privilege-escalation-hack-patrick-wardle

ワードル氏はmacOS用のオープンソースセキュリティツールを作成する非営利団体・Objective-See Foundationの創設者で、これまでに「App Storeで配布されている複数の人気Macアプリがユーザーデータを収集して外部サーバーに送っている」ことなどを指摘してきた人物。

App Storeで配布されている複数の人気Macアプリがユーザーデータを収集して外部サーバーに送っている - GIGAZINE

そんなワードル氏が、Zoomのインストーラーに存在するバグを指摘しています。

ビデオ会議ツールとして人気を博すZoomのインストーラーは、Zoomアプリケーションをインストールしたり削除したりする際、管理者権限でこれらのアクションを実行する必要があります。インストーラーはZoomアプリを最初にインストールする際、ユーザーにパスワード入力を求めるのですが、ワードル氏によるとインストーラーの自動更新機能は管理者権限でバックグラウンドで継続的に実行されているとのこと。

Zoomがアプリのアップデートを配信すると、アップデーター機能はZoomにより暗号署名されていることを確認したのち、新しいパッケージをインストールします。しかし、この暗号署名の確認プロセスの実装方法にバグが存在したため、Zoomの署名証明書と同じ名前のファイルをアップデーターに加えるだけで、暗号署名の確認をクリアできるようになっている模様。これにより、昇格された権限を持つアップデーターを作り出すことが可能になっているとワードル氏は指摘しています。

Zoomのアップデートインストーラーでは、インストールするパッケージが最初にroot権限を持つユーザーのディレクトリに移動されます。通常、root権限を持たないユーザーは、このディレクトリ内にあるファイルを追加・削除・変更することができません。しかし、macOSのようなUnixシステムでは「既存のファイルが別の場所からroot権限のディレクトリに移動された場合、以前と同じ読み取り・書き込みアクセス許可を保持する」という仕様が存在します。そのため、通常のユーザーでも引き続きファイルの変更が可能です。この仕様とZoomインストーラーのバグを悪用することで、ユーザーアカウントをroot権限まで昇格させることができるようになります。

このバグを悪用した特権昇格攻撃では、「攻撃者が攻撃対象となるシステムへのアクセス権限を既に取得している」必要があります。しかし、攻撃者は制限付きのユーザーアカウントであっても、特権昇格攻撃により管理者権限やroot権限を取得可能となり、攻撃対象となるマシン上の任意のファイルを追加・削除・変更することができるようになるわけです。

ワードル氏は2021年12月にインストーラーに存在する脆弱性についてZoomに通知しました。Zoomは脆弱性を修正するパッチを、DEF CONが開催される数週間前のタイミングでリリースしたそうです。しかし、Zoomによるパッチ修正を詳細に分析したところ、別の小さなエラーがあり、脆弱性を悪用することが可能なままであったそうです。

ワードル氏は「バグの存在をZoomに報告しただけでなく、間違いやコードの修正方法についても報告しています」「すべてのMacバージョンで利用できるZoomに脆弱性が存在しており、そんなアプリケーションが多くのユーザーのMacにインストールされていることを理解しているにもかかわらず、6～8カ月も情報公開を待たなければいけなかったというのは本当にもどかしいことでした」とコメントしています。