Falha grave no Team Viewer abre brechas para hackers

Falha grave no Team Viewer abre brechas para hackers. Vulnerabilidade pode permitir que atacantes remotos roubem a senha do seu sistema. 

Atacantes remotos não autenticados podem explorar a falha do TeamViewer para executar código e quebrar as senhas das vítimas. 

Se você estiver usando o TeamViewer, tome cuidado e certifique-se de que está executando a versão mais recente do popular software de conexão de área de trabalho remota para Windows. A equipe TeamViewer lançou recentemente uma nova versão de seu software que inclui um patch para uma vulnerabilidade grave ( CVE 2020-13699 ), que, se explorada, pode permitir que atacantes remotos roubem a senha do seu sistema e eventualmente o comprometam. O que é mais preocupante é que o ataque pode ser executado quase automaticamente, sem exigir muita interação das vítimas e apenas convencendo-as a visitar uma página web maliciosa uma vez.

Para quem não sabe, o TeamViewer é um software de suporte remoto popular que permite aos usuários compartilhar com segurança sua área de trabalho ou assumir o controle total de outros PCs pela Internet de qualquer lugar do mundo. O software de acesso remoto está disponível para sistemas operacionais desktop e móveis, incluindo Windows, macOS, Linux, Chrome OS, iOS, Android, Windows RT, Windows Phone 8 e BlackBerry.

Os aplicativos precisam identificar os URIs dos sites que manipularão. Mas, como os aplicativos manipuladores podem receber dados de fontes não confiáveis, os valores de URI passados ​​para o aplicativo podem conter dados maliciosos que tentam explorar o aplicativo. Nesse caso específico, os valores não são “citados” pelo aplicativo – o que significa que o TeamViewer os tratará como comandos em vez de valores de entrada.

Descoberta por Jeffrey Hofmann da Praetorian, a vulnerabilidade de alto risco relatada recentemente reside na maneira como o TeamViewer usa seus manipuladores de URI personalizados, o que pode permitir que um invasor force o software a retransmitir uma solicitação de autenticação NTLM para o sistema do invasor. Em termos simples, um invasor pode aproveitar o esquema de URI do TeamViewer de uma página da web para enganar o aplicativo instalado no sistema da vítima para iniciar uma conexão com o compartilhamento SMB remoto de propriedade do invasor.

fonte: The Hacker News

Isso, por sua vez, dispara o ataque de autenticação SMB, vaza o nome de usuário do sistema e a versão em hash NTLMv2 da senha para os invasores, permitindo que eles usem credenciais roubadas para autenticar o computador das vítimas ou recursos de rede.

Para explorar a vulnerabilidade com êxito, um invasor precisa incorporar um iframe malicioso em um site e, em seguida, induzir as vítimas a visitar esse URL criado com códigos maliciosos. Uma vez clicado pela vítima, o TeamViewer iniciará automaticamente seu cliente de desktop Windows e abrirá um compartilhamento SMB remoto. Agora, o sistema operacional Windows da vítima irá “executar autenticação NTLM ao abrir o compartilhamento SMB e essa solicitação pode ser retransmitida (usando uma ferramenta de resposta) para execução de código (ou capturada para cracking de hash).“

Esta vulnerabilidade, classificada como ‘Unquoted URI handler’   afeta “manipuladores de URI teamviewer10, teamviewer8, teamviewerapi, tvchat1, tvcontrol1, tvfiletransfer1, tvjoinv8, tvpresent1, tvsendfile1, tvsqcustomer1, tvsqsupport1, tvvideocall1 e tvvpn1“, disse Hofmann .

O projeto TeamViewer corrigiu a vulnerabilidade citando os parâmetros passados pelos manipuladores de URI afetados, por exemplo, URL: teamviewer10 Protocolo “C: \ Arquivos de programas (x86) \ TeamViewer \ TeamViewer.exe” “% 1“

Em um aviso de segurança sobre a falha , o Center for Internet Security (CIS) recomendou que os usuários do TeamViewer aplicassem os patches apropriados. Eles também recomendaram que os usuários evitem sites ou links não confiáveis ​​fornecidos por fontes desconhecidas e “eduquem os usuários sobre as ameaças representadas por links de hipertexto contidos em e-mails ou anexos, especialmente de fontes não confiáveis”.

As funcionalidades de controle remoto do TeamViewer o tornam um alvo lucrativo de ataque para agentes mal-intencionados – especialmente com mais empresas se voltando para aplicativos de colaboração como o TeamViewer durante a pandemia. Em 2019, um ataque direcionado por e-mail contra funcionários da embaixada e autoridades financeiras do governo transformou o TeamViewer em arma para obter controle total do computador infectado. E no início de 2020, uma variante recém-descoberta do trojan Cerberus Android foi descoberta com recursos de coleta de informações amplamente expandidos e mais sofisticados e a capacidade de executar o TeamViewer.

Embora a vulnerabilidade não esteja sendo explorada no momento, considerando a popularidade do software entre milhões de usuários, o TeamViewer sempre foi um alvo de interesse para os invasores. Portanto, os usuários são altamente recomendados para atualizar seu software para o 15.8.3, já que dificilmente é uma questão de tempo antes que os hackers comecem a explorar a falha para invadir os PCs Windows dos usuários.

Fonte: The Hacker News & Threat Post

Veja também:

• Ninguém está imune, SANS Institute vaza informações pessoais após ataque Hacker
• Pagar criminosos de ransomware ou restaurar a rede?
• “Novo Normal” está contribuindo para o aumento dos crimes cibernéticos
• Remoção do Flash Player deve ser prioridade nas empresas
• Anhembi Morumbi e Nove de Julho são atacadas por hackers
• Trabalho remoto coloca empresas em risco
• Punir erros de segurança cibernética é considerado contraproducentes, os tempos mudaram !
• Netgear não irá atualizar firmware vulnerável em 45 tipos de equipamentos, alguns recentes!
• 8 dicas para criar defesas e respostas a ataques de Ransomware
• Ransomware: Por que ele se recusa a desaparecer
• Recuperação de Ransomware começa antes do ataque!
• Invasores estão explorando a vulnerabilidade nota 10 no F5 BIG-IP