Zoomはバグを修正し、攻撃者がプライベートなミーティングパスワードを解読できるようにします

SearchPointのVP ProductであるTom Anthonyが発見したように、繰り返しのパスワード試行に対するレート制限の欠如により、Zoomのプライベート会議を保護するために使用される数値パスワードを攻撃者が解読できるようになりました。

アンソニーは、「ズーム会議は、デフォルトでは6桁の数字パスワードで保護されていました。つまり、最大100万のパスワードを意味します。」

彼は、Zoom Webクライアントに脆弱性を発見しました。これにより、攻撃者はすべての可能な組み合わせを試して実際のパスワードが見つかるまで、あらゆる会議のパスワードを推測できるようになりました。

「これにより、攻撃者は数百万のパスワードすべてを数分で試行し、他の人の(パスワードで保護された)非公開のZoomミーティングにアクセスできます。これはまた、厄介な問題を引き起こし、他の人々がこの脆弱性を利用して他の人々の電話を聞いていたかどうかという疑問も生じます。」

攻撃者は、100万個の可能なパスワードのリスト全体を調べる必要がないため、パスワードを解読する時間を必要としません。 PMIを含む定期的な会議では常に同じパスワードが使用されるため、攻撃者が必要とするのは、一度会議を解読し、将来のセッションに永続的にアクセスすることだけです。

Anthonyは、AWSマシンを使用して91,000個のパスワードを確認した後、25分以内に会議のパスワードを解読できることを証明しました。さらに、「スレッディングが改善され、4〜5個のクラウドサーバーに分散することで、数分以内にパスワードスペース全体をチェックできるようになりました。」

Anthonyは2020年4月1日にpythonの証拠とともにWebクライアントの問題を会社に報告し、攻撃者がどのようにしてパスワードを保護する会議に総当たりするかを示しました。報告後、同社はこの脆弱性に対処するためにWebクライアントを停止しました。同社は翌日、公式ステータスページに「ズームによりWebクライアントがメンテナンスモードになり、サービスのこの部分がオフラインになる」とのインシデントレポートを追加しました。

1週間以内に、Zoomは「Webクライアントでミーティングに参加するためにユーザーにログインを要求し、デフォルトのミーティングパスワードを数字以外でより長いものに更新する」ことで、パスワード試行率の制限問題に対処しました。

4月1日にこの問題を知ったとき、私たちは緩和策を実装している間、ユーザーのセキュリティを確保するためにすぐにZoom Webクライアントを停止しました。その後、レート制限を改善し、CSRFトークンの問題に対処し、4月9日にWebクライアントを再起動しました。これらの修正により、問題は完全に解決され、ユーザーの操作は必要ありませんでした。このエクスプロイトが実際に使用されている例は確認されていません。この問題を報告してくれたTom Anthonyに感謝します。 Zoom製品にセキュリティの問題を見つけたと思われる場合は、詳細なレポートを[email protected]に送信してください。 —ズーム