TeamViewer kwetsbaarheid kan hackers het systeemwachtwoord laten stelen

Als u TeamViewer gebruikt, pas dan op en zorg ervoor dat u de nieuwste versie van de populaire Remote Desktop-verbindingssoftware voor Windows gebruikt.

De kwetsbaarheid

Het TeamViewer-team heeft onlangs een nieuwe versie van zijn software uitgebracht met een patch voor een ernstige kwetsbaarheid (CVE 2020-13699), die, indien misbruikt, aanvallers op afstand uw systeemwachtwoord zou kunnen laten stelen en het uiteindelijk zou kunnen compromitteren.

Wat nog zorgwekkender is, is dat de aanval bijna automatisch kan worden uitgevoerd zonder veel tussenkomst van de slachtoffers en door hen slechts één keer te overtuigen een kwaadaardige webpagina te bezoeken.

De software is beschikbaar voor desktop- en mobiele besturingssystemen, zoals Windows, macOS, Linux, Chrome OS, iOS, Android, Windows RT Windows Phone 8 en BlackBerry.

Wat doet de kwetsbaarheid

De door Jeffrey Hofmann van Praetorian ontdekte nieuw gemelde kwetsbaarheid met een hoog risico, zit in de manier waarop TeamViewer zijn aangepaste URI-handlers citeert, waardoor een aanvaller de software kan dwingen een NTLM-authenticatieverzoek door te geven aan het systeem van de aanvaller.
In eenvoudige bewoordingen kan een aanvaller het URI-schema van TeamViewer vanaf een webpagina gebruiken om de applicatie die op het systeem van het slachtoffer is geïnstalleerd, misleiden om een ​​verbinding tot stand te brengen met de externe SMB-share van de aanvaller.

Dit activeert op zijn beurt de SMB-authenticatieaanval en lekt de gebruikersnaam van het systeem en de NTLMv2-gehashte versie van het wachtwoord naar de aanvallers, waardoor ze gestolen inloggegevens kunnen gebruiken om de computer of netwerkbronnen van de slachtoffers te verifiëren.

 

Om het beveiligingslek met succes te misbruiken, moet een aanvaller een kwaadaardig iframe op een website insluiten en vervolgens de slachtoffers misleiden om die kwaadwillig vervaardigde URL te bezoeken.

Eenmaal aangeklikt door het slachtoffer, start TeamViewer automatisch zijn Windows-desktopclient en opent een externe SMB-share.

Nu zal het Windows-besturingssysteem van het slachtoffer “NTLM-authenticatie” uitvoeren bij het openen van de SMB-share en dat verzoek kan worden doorgestuurd (met behulp van een tool zoals responder) voor het uitvoeren van code (of vastgelegd voor hash-cracking).”

Deze kwetsbaarheid, gecategoriseerd als ‘Unquoted URI-handler,’ beinvloedt de “URI handlers teamviewer10, teamviewer8, teamviewerapi, tvchat1, tvcontrol1, tvfiletransfer1, tvjoinv8, tvpresent1, tvsendfile1, tvsqcustomer1, tvsqsupport1, tvvideocall1 en tvvpn1,” zei Hofmann.

Oplossing

Het TeamViewer-project heeft de kwetsbaarheid gepatcht door de parameters te citeren die door de getroffen URI-handlers zijn doorgegeven, bijvoorbeeld URL: teamviewer10 Protocol “C: \ Program Files (x86) \ TeamViewer \ TeamViewer.exe” “% 1”

Hoewel de kwetsbaarheid nog niet misbruikt wordt, gezien de populariteit van de software onder miljoenen gebruikers, is TeamViewer altijd een interessant doelwit geweest voor aanvallers.

Advies

Gebruikers worden dus sterk aangeraden om hun software te upgraden naar 15.8.3, aangezien het nauwelijks een kwestie van tijd is voordat hackers misbruik gaan maken van de fout om de Windows-pc’s van gebruikers te hacken.

Bronnen: hackernews en security.nl.

Eerdere berichten

Ander Cybersecurity nieuws lezen? Bekijk ook eens onze andere recente berichten:

Nieuwe string TrickBot Anchor Malware infecteert zowel Linux- als Windows-systemen
Microsoft Teams Updater misbruikt om “living of the land” aanvallen uit te voeren

Gerelateerde berichten

security awareness training

Security Awareness trainingen moeten regelmatig herhaald worden

Microsoft

Zerologon kritieke kwetsbaarheid in Windows Server maakt het mogelijk om domain controllers over te nemen

Microsoft

Kritieke kwetsbaarheid CVE-2020-16875 in Microsoft Exchange maakt RCE mogelijk

cisco

Cisco IOS XR zero-day kwetsbaarheid actief misbruikt

thuiswerken

Thuiswerken zorgt voor een toename aan security incidenten

MS Teams

Microsoft Teams Updater misbruikt om “living of the land” aanvallen uit te voeren

Trickbot

Nieuwe string TrickBot Anchor Malware infecteert zowel Linux- als Windows-systemen

BootHole

BootHole kwetsbaarheid maakt devices met Secure Boot kwetsbaar voor aanvallen

cisco

Kwetsbaarheid in Cisco FTD en ASA zorgt voor lek van gevoelige data

emotet

Emotet botnet keert na 5 maanden terug

sigred kwetsbaarheid

SIGRed, een “wormable” kritieke kwetsbaarheid in Windows DNS-Server

f5 kwetsbaarheid

Ernstige kritieke kwetsbaarheid in BIG-IP ADC van F5

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Fill out this field
Fill out this field
Geef een geldig e-mailadres op.
Je moet de voorwaarden accepteren voordat je het bericht kunt verzenden.

elf − 5 =

Menu