This post is also available in: Português
Quem usa o TeamViewer, deve atualizá-lo o quanto antes para a versão mais recente do software. Os criadores do programa lançaram recentemente uma atualização que inclui uma correção para uma vulnerabilidade grave (CVE 2020-13699). Se explorada, poderia permitir que invasores furtassem as senhas dos usuários, tendo então acesso ao sistema. Ou seja, um desconhecido poderia controlar o seu computador – com as piores intenções.
O que é mais preocupante é que o ataque poderia ser executado quase automaticamente, sem exigir muita interação das vítimas. Seria necessário “apenas” fazer com que visitassem uma página maliciosa da web.
Principalmente em tempos de pandemia, o TeamViewer tendo sido cada vez mais usado. É que ele permite compartilhar com segurança sua área de trabalho – ou assumir o controle total de outros PCs pela Internet de qualquer lugar do mundo. Centenas de empresas que prestam assistência técnica remota em computadores atuam dessa maneira, pois basta que o cliente instale o programa e forneça o login. O funcionário então assume o comando da máquina e resolve tudo à distância.
A falha em si
A vulnerabilidade de alto risco está relacionada com a maneira como o TeamViewer cita seus manipuladores de URI personalizados, o que pode permitir que um invasor force o software a retransmitir uma solicitação de autenticação NTLM para o sistema do invasor.
Dessa maneira, um invasor pode aproveitar o esquema de URI do TeamViewer de uma página da web para enganar o aplicativo instalado no sistema da vítima. Então, inicia uma conexão com o compartilhamento SMB remoto de propriedade do invasor.
Isso, por sua vez, dispara o ataque de autenticação SMB, vaza o nome de usuário do sistema e a versão em hash NTLMv2 da senha para os invasores, permitindo que eles usem credenciais roubadas para autenticar o computador das vítimas ou recursos de rede.
Para explorar a vulnerabilidade com êxito, um invasor precisa incorporar um iframe malicioso em um site e, em seguida, induzir as vítimas a visitarem esse URL criado com códigos maliciosos. Uma vez clicado pela vítima, o TeamViewer iniciará automaticamente seu cliente de desktop Windows e abrirá um compartilhamento SMB remoto.
Agora, o sistema operacional Windows da vítima irá executar autenticação NTLM ao abrir o compartilhamento SMB. Essa solicitação pode ser retransmitida para execução de código, ou capturada para cracking de hash.
O Project TeamViewer corrigiu a vulnerabilidade citando os parâmetros passados pelos manipuladores de URI afetados, por exemplo, URL: teamviewer10 Protocolo “C: \ Arquivos de programas (x86) \ TeamViewer \ TeamViewer.exe” “% 1”
Embora a vulnerabilidade não esteja sendo explorada aos montes agora, é importante atualizar o software o quanto antes. Afinal, tendo em vista a sua popularidade e a sua natureza de acesso remoto, sempre foi alvo de interesse para hackers – e a tendência é que continue sendo.
This post is also available in: Português
