Nếu bạn đang sử dụng TeamViewer, hãy cẩn thận và đảm bảo rằng bạn đang chạy phiên bản mới nhất của phần mềm kết nối máy tính từ xa phổ biến dành cho Windows.
Nhóm TeamViewer gần đây đã phát hành phiên bản mới của phần mềm bao gồm bản vá cho một lỗ hổng nghiêm trọng (CVE 2020-13699), nếu bị khai thác, có thể cho phép những kẻ tấn công từ xa đánh cắp mật khẩu hệ thống của bạn và cuối cùng xâm phạm mật khẩu.
Điều đáng lo ngại hơn là cuộc tấn công có thể được thực hiện gần như tự động mà không yêu cầu nhiều sự tương tác của nạn nhân và chỉ cần thuyết phục họ truy cập một trang web độc hại một lần.
Đối với những người không biết, TeamViewer là một phần mềm hỗ trợ từ xa phổ biến cho phép người dùng chia sẻ máy tính để bàn của họ một cách an toàn hoặc kiểm soát toàn bộ PC của người khác qua Internet từ mọi nơi trên thế giới.
Phần mềm truy cập từ xa có sẵn cho các hệ điều hành máy tính để bàn và di động, bao gồm Windows, macOS, Linux, Chrome OS, iOS, Android, Windows RT Windows Phone 8 và BlackBerry.
Được phát hiện bởi Jeffrey Hofmann của Praetorian, lỗ hổng có nguy cơ cao mới được báo cáo nằm trong cách TeamViewer trích dẫn các trình xử lý URI tùy chỉnh của nó, có thể cho phép kẻ tấn công buộc phần mềm chuyển tiếp một yêu cầu xác thực NTLM đến hệ thống của kẻ tấn công.
Nói một cách dễ hiểu, kẻ tấn công có thể sử dụng lược đồ URI của TeamViewer từ một trang web để lừa ứng dụng được cài đặt trên hệ thống của nạn nhân bắt đầu kết nối với phần chia sẻ SMB từ xa do kẻ tấn công sở hữu.
Điều này sẽ kích hoạt cuộc tấn công xác thực SMB, làm rò rỉ tên người dùng của hệ thống và phiên bản mật khẩu đã băm của NTLMv2 cho những kẻ tấn công, cho phép chúng sử dụng thông tin đăng nhập bị đánh cắp để xác thực tài nguyên mạng hoặc máy tính của nạn nhân.
Để khai thác thành công lỗ hổng, kẻ tấn công cần nhúng iframe độc hại vào một trang web và sau đó lừa nạn nhân truy cập vào URL được tạo độc hại đó. Sau khi nạn nhân nhấp vào, TeamViewer sẽ tự động khởi chạy ứng dụng khách trên máy tính để bàn Windows của mình và mở chia sẻ SMB từ xa.
Bây giờ, hệ điều hành Windows của nạn nhân sẽ “thực hiện xác thực NTLM khi mở chia sẻ SMB và yêu cầu đó có thể được chuyển tiếp (sử dụng một công cụ như trình phản hồi) để thực thi mã (hoặc bị bắt để bẻ khóa hàm băm).”
Lỗ hổng bảo mật này, được phân loại là ‘Trình xử lý URI chưa được trích dẫn’, ảnh hưởng đến “Trình xử lý URI teamviewer10, teamviewer8, teamviewerapi, tvchat1, tvcontrol1, tvfiletransfer1, tvjoinv8, tvpresent1, tvsendfile1, tvsqcustomer1, tvsqsupport1, tvvidevpalln1, và” Hofmann nói.
Dự án TeamViewer đã vá lỗ hổng bảo mật bằng cách trích dẫn các tham số được truyền bởi các trình xử lý URI bị ảnh hưởng, ví dụ: URL: teamviewer10 Giao thức “C: Program Files (x86) TeamViewer TeamViewer.exe” “% 1”
Mặc dù hiện tại lỗ hổng bảo mật không được khai thác rầm rộ, nhưng xét đến sự phổ biến của phần mềm trong hàng triệu người dùng, TeamViewer vẫn luôn là mục tiêu quan tâm của những kẻ tấn công.
Vì vậy, người dùng được khuyến nghị nâng cấp phần mềm của họ lên 15.8.3, vì hầu như không còn vấn đề thời gian trước khi tin tặc bắt đầu khai thác lỗ hổng để xâm nhập vào PC Windows của người dùng.
Một vectơ tấn công xác thực SMB tương tự đã được tiết lộ trước đây trong Google Chrome, Thu phóng hội nghị truyền hình ứng dụng và Sứ giả tín hiệu.
