Je\u015bli u\u017cywasz TeamViewer, upewnij si\u0119, \u017ce korzystasz z jego najnowszej wersji. Naj\u015bwie\u017csze wydanie zawiera \u0142atk\u0119 usuwaj\u0105c\u0105 powa\u017cn\u0105 luk\u0119, kt\u00f3ra mog\u0142aby pozwoli\u0107 atakuj\u0105cym na kradzie\u017c has\u0142a systemowego i ostatecznie przej\u0119cie nad nim kontroli. Wi\u0119cej o luce CVE 2020-13699 przeczytasz poni\u017cej.<\/p>\n\n\n\n\n\n\n\n
TeamViewer – popularne oprogramowanie wykorzystywane cz\u0119sto w pracy zdalnej – za\u0142ata\u0142o powa\u017cn\u0105 luk\u0119 (CVE-2020-13699, 8.8\/10) w swojej aplikacji dla systemu Windows. Wykorzystanie b\u0142\u0119du mog\u0142o pozwoli\u0107 nieuwierzytelnionym atakuj\u0105cym na zdalne wykonanie kodu lub z\u0142amanie hase\u0142 u\u017cytkownik\u00f3w.<\/p>\n\n\n\n
Problem tkwi w niepoprawnym korzystaniu z program\u00f3w obs\u0142ugi URI (ang. Uniform Resource Identifier) przez aplikacj\u0119 desktopow\u0105 na Windowsa. <\/p>\n\n\n\n
Uniform Resource Identifier<\/em><\/strong> (<\/em>URI<\/em><\/strong>, ang. Uniform Resource Identifier, t\u0142um. Ujednolicony Identyfikator Zasob\u00f3w) jest standardem internetowym umo\u017cliwiaj\u0105cym \u0142atw\u0105 identyfikacj\u0119 zasob\u00f3w w sieci – nazw (URN) lub adres\u00f3w (URL). URI mo\u017ce zosta\u0107 sklasyfikowane jako URL (ang. Uniform Resource Locator) lub URN (ang. Uniform Resource Name).<\/em><\/p>\n\n\n\n Aplikacje musz\u0105 identyfikowa\u0107 URI witryn, kt\u00f3re b\u0119d\u0105 obs\u0142ugiwa\u0107. Poniewa\u017c jednak mog\u0105 odbiera\u0107 dane z niezaufanych \u017ar\u00f3de\u0142, warto\u015bci identyfikatora URI przekazywane do aplikacji mog\u0105 zawiera\u0107 z\u0142o\u015bliwe dane. W tym konkretnym przypadku warto\u015bci nie s\u0105 \u201ecytowane\u201d przez aplikacj\u0119. Oznacza to, \u017ce \u200b\u200bTeamViewer potraktuje je jako polecenia, a nie jako warto\u015bci wej\u015bciowe.<\/p>\n\n\n\n Osoba atakuj\u0105ca mo\u017ce osadzi\u0107 z\u0142o\u015bliw\u0105 ramk\u0119 iframe w witrynie ze spreparowanym adresem URL, kt\u00f3ry uruchomi klienta pulpitu TeamViewer dla systemu Windows i zmusi go do otworzenia zdalnego udzia\u0142u SMB.<\/p>\n\n\n\n Aby zainicjowa\u0107 atak, osoba atakuj\u0105ca mo\u017ce po prostu przekona\u0107 u\u017cytkownika TeamViewer do klikni\u0119cia spreparowanego adresu URL wykorzystuj\u0105c techniki znane z atak\u00f3w typu watering-hole.<\/p>\n\n\n\n Gdy aplikacja TeamViewer zainicjuje zdalny udzia\u0142 SMB, system Windows nawi\u0105\u017ce po\u0142\u0105czenie za pomoc\u0105 NT LAN Manager (NTLM). NTLM u\u017cywa szyfrowanego protoko\u0142u do uwierzytelniania u\u017cytkownika bez u\u017cycia has\u0142a ani nawet jego skr\u00f3tu (hash). Po\u015bwiadczenia NTLM s\u0105 oparte na danych przechowywanych w bazie Managera kont zabezpiecze\u0144 lub bazie Active Directory. <\/p>\n\n\n\n W scenariuszu ataku atakuj\u0105cy mog\u0105 wykorzysta\u0107 zestawy narz\u0119dzi typu Responder, przechwytywa\u0107 sesje uwierzytelniania w sieci wewn\u0119trznej oraz hashe hase\u0142, kt\u00f3re \u0142amane s\u0105 z u\u017cyciem atak\u00f3w typu brute-force i przekaza\u0107 je do maszyny docelowej, co daje to im dost\u0119p do urz\u0105dze\u0144 ofiary. <\/p>\n\n\n\n Na szcz\u0119\u015bcie dla u\u017cytkownik\u00f3w atak jest trudny do przeprowadzenia i wymaga interakcji u\u017cytkownika.<\/p>\n\n\n\n Podatne s\u0105 wersje TeamViewer wcze\u015bniejsze ni\u017c 15.8.3. B\u0142\u0105d dotyczy r\u00f3wnie\u017c: teamviewer10, teamviewer8, teamviewerapi, tvchat1, tvcontrol1, tvfiletransfer1, tvjoinv8, tvpresent1, tvsendfile1, tvsqcustomer1, tvsqsupport1, tvvvidepport1 i tvvvidepport1.<\/p>\n\n\n\n Problem zosta\u0142 rozwi\u0105zany w wersjach 8.0.258861, 9.0.258860, 10.0.258873, 11.0.258870, 12.0.258869, 13.2.36220, 14.2.56676, 14.7.48350 i 15.8.3.<\/p>\n\n\n\n