logo

A falha do TeamViewer pode permitir que hackers roubem a senha do sistema remotamente |

publicado em:19/08/20 12:19 PM por: NotíciaSegurança Da Informção

A falha do TeamViewer pode permitir que hackers roubem a senha do sistema remotamente

Se você estiver usando o TeamViewer, tome cuidado e certifique-se de executar a versão mais recente do popular software de conexão de área de trabalho remota para Windows.

A equipe TeamViewer lançou recentemente uma nova versão de seu software que inclui um patch para uma vulnerabilidade grave ( CVE 2020-13699 ), que, se explorada, pode permitir que atacantes remotos roubem a senha do seu sistema e eventualmente a comprometam.

O que é mais preocupante é que o ataque pode ser executado quase automaticamente, sem exigir muita interação das vítimas e apenas convencendo-as a visitar uma página da web maliciosa uma vez.

 

Sobre o TeamViewer

 

Para quem não sabe, o TeamViewer é um software de suporte remoto popular que permite aos usuários compartilhar com segurança sua área de trabalho ou assumir o controle total de outros PCs pela Internet de qualquer lugar do mundo.

O software de acesso remoto está disponível para sistemas operacionais desktop e móveis, incluindo Windows, macOS, Linux, Chrome OS, iOS, Android, Windows RT, Windows Phone 8 e BlackBerry.

Descoberta por Jeffrey Hofmann da Praetorian, a vulnerabilidade de alto risco relatada recentemente reside na maneira como o TeamViewer cita seus manipuladores de URI personalizados, que podem permitir que um invasor force o software a retransmitir uma solicitação de autenticação NTLM para o sistema do invasor.

 

A falha do TeamViewer pode permitir que hackers roubem a senha do sistema remotamente.

Reprodução: The Hacker News

O ataque

Em termos simples, um invasor pode aproveitar o esquema de URI do TeamViewer de uma página da web para enganar o aplicativo instalado no sistema da vítima para iniciar uma conexão com o compartilhamento SMB remoto de propriedade do invasor.

Isso, por sua vez, dispara o ataque de autenticação SMB, vaza o nome de usuário do sistema e a versão em hash NTLMv2 da senha para os invasores, permitindo que eles usem credenciais roubadas para autenticar o computador das vítimas ou os recursos de rede.

 

Para explorar a vulnerabilidade

Para explorar a vulnerabilidade com êxito, um invasor precisa incorporar um iframe malicioso em um site e, em seguida, induzir as vítimas a visitar esse URL criado com códigos maliciosos. Uma vez clicado pela vítima, o TeamViewer iniciará automaticamente seu cliente de desktop Windows e abrirá um compartilhamento SMB remoto.

Agora, o sistema operacional Windows da vítima irá “executar autenticação NTLM ao abrir o compartilhamento SMB e essa solicitação pode ser retransmitida (usando uma ferramenta como o respondente) para execução de código (ou capturada para cracking de hash).”

Esta vulnerabilidade, classificada como ‘manipulador Não cotados URI,’ afeta “URI manipuladores teamviewer10, teamviewer8, teamviewerapi, tvchat1, tvcontrol1, tvfiletransfer1, tvjoinv8, tvpresent1, tvsendfile1, tvsqcustomer1, tvsqsupport1, tvvideocall1 e tvvpn1”, disse Hofmann .

 

A Correção

O projeto TeamViewer corrigiu a vulnerabilidade citando os parâmetros passados ​​pelos manipuladores de URI afetados, por exemplo, URL: teamviewer10 Protocolo “C: \ Arquivos de programas (x86) \ TeamViewer \ TeamViewer.exe” “% 1”

Embora a vulnerabilidade não esteja sendo explorada em liberdade no momento, considerando a popularidade do software entre milhões de usuários, o TeamViewer sempre foi um alvo de interesse para os invasores.

 

Recomendação

Portanto, os usuários são altamente recomendados para atualizar seu software para o 15.8.3, já que dificilmente é uma questão de tempo antes que os hackers comecem a explorar a falha para invadir os PCs Windows dos usuários.

Um vetor de ataque de autenticação SMB semelhante foi divulgado anteriormente no Google Chrome , no aplicativo de videoconferência Zoom e no Signal messenger .

 

Fonte e imagem: The Hacker News


Gostou desse conteúdo?

Siga a Genco Rio na Rede Social de sua preferência (ou ambas) Facebook, LinkedInTwitter e Instagram

Leia também:

Ragnar Locker ransomware

Sophos o que é Intercept X



A última modificação foi feita em:setembro 20th, 2020 as 12:53 am




Comentários



Adicionar Comentário