Пользователям следует проявлять осторожность при использовании TeamViewer и убедиться, что используется последняя версия этой популярной программы для удаленного подключения под Windows.
Команда TeamViewer недавно выпустила новую версию своего программного обеспечения с патчем для серьезной уязвимости (CVE 2020-13699), которая, в случае эксплуатации, может позволить злоумышленникам скомпрометировать локальные пароли операционной системы пользователя.
Еще большее беспокойство вызывает тот факт, что атака может быть выполнена почти автоматически, без особого взаимодействия с жертвами, просто убедив их хоть раз зайти на вредоносную веб-страницу.
TeamViewer - это популярная программа удаленной поддержки, позволяющая пользователям безопасно расшарить свой рабочий стол или выдать полный контроль своего компьютера через Интернет из любой точки мира.
Программа удаленного доступа доступна для настольных и мобильных операционных систем, включая Windows, MacOS, Linux, Chrome OS, iOS, Android, Windows RT Windows Phone 8 и BlackBerry.
Обнаруженная Джеффри Хофманом из компании Praetorian высокорисковая уязвимость заключается в том, как TeamViewer цитирует свои кастомные URI-обработчики, благодаря которым злоумышленник может заставить программное обеспечение транслировать запрос на NTLM-аутентификацию в систему злоумышленника.
Проще говоря, злоумышленник может использовать URI-схему TeamViewer с веб-страницы, чтобы обманом заставить установленное в системе жертвы приложение инициировать подключение к принадлежащей злоумышленнику удаленной SMB-шаре.
Это, в свою очередь, запускает атаку SMB-аутентификации, инициирует утечку имени пользователя в операционной системе. NTLMv2 хэширует пароль и передает злоумышленникам, позволяя им использовать украденные учетные данные для аутентификации на компьютере жертвы или сетевых ресурсах.
Чтобы успешно использовать уязвимость, злоумышленнику необходимо внедрить вредоносный iframe на веб-сайт и заманить на него жертву. После открытия сайта, TeamViewer автоматически запустит свой desktop-клиент под Windows и откроет удаленный SMB ресурс.
Теперь операционная система жертвы будет выполнять NTLM аутентификацию при открытии SMB ресурса, и этот запрос может быть ретранслирован (с помощью инструмента responder) в целях выполнения кода (или перехвачен для взлома хэша).
Эта уязвимость, классифицируемая как «Незаявленный обработчик URI», влияет на «обработчики URI teamviewer10, teamviewer8, teamviewerapi, tvchat1, tvcontrol1, tvfiletransfer1, tvjoinv8, tvpresent1, tvsendfile1, tvsqcustomer1, tvsqsupport1, tvvideocall1 и tvvpn1», - сообщил Хофман.
Проект TeamViewer исправил уязвимость, указав параметры, передаваемые соответствующими обработчиками URI, например, URL:teamviewer10 Протокол «C:\Program Files (x86)\TeamViewer\TeamViewer.exe» «%1».
Несмотря на то, что на данный момент уязвимость активно не эксплуатируется хакерскими группами, TeamViewer, с учетом популярности данного программного обеспечения среди миллионов пользователей, всегда представлял интерес для злоумышленников.
Поэтому пользователям настоятельно рекомендуется обновить свое программное обеспечение до версии 15.8.3, лишь вопрос времени, когда хакеры начнут использовать эту уязвимость для взлома пользовательских ПК под управлением Windows.
Подобный вектор атаки SMB-аутентификации ранее был выявлен в Google Chrome, приложении для видеоконференций Zoom и мессенджере Signal.
Перевод сделан со статьи https://thehackernews.com/