Ошибка в Windows-приложении TeamViewer облегчает взлом паролей
Некорректная работа с обработчиками унифицированных идентификаторов ресурсов (URI) популярного десктопного приложения TeamViewer оставляет лазейку для удаленного выполнения неавторизованного кода на Windows-ПК или для взлома паролей TeamViewer.
Частная программная платформа TeamViewer широко применяется для дистанционного контроля, удаленной технической поддержки, совместной работы с экраном, онлайновых встреч, веб-конференций и обмена файлами.
О недавно найденной в версии Desktop for Windows этого приложения уязвимости CVE-2020-13699 стало известно одновременно с выходом устраняющего ее патча. Суть проблемы заключается в неправильном "цитировании" обработчиков URI. Получаемые ими данные из ненадежных источников в ряде случаев могут восприниматься не как входные значения, а как команды.
Чтобы инициировать атаку типа "водопой" (watering hole), злоумышленник должен просто убедить жертву с TeamViewer, установленным на ее компьютере, нажать на вредоносную ссылку, размещенную на популярном и часто посещаемом сайте.
Это действие приводит к открытию десктопного клиента TeamViewer и заставляет его установить контролируемое хакером удаленное соединение с протоколом Server Message Block (SMB). Этот протокол служит для разделенного доступа к файлами между Windows-компьютерами, подключенными к одной сети.
Используя инструмент типа Responder для перенаправления сессий аутентификации SMB из внутренней сети на машину жертвы, атакующие автоматически получают доступ к ее ресурсам. Это также позволяет им получить хешированные пароли, которые они могут взломать методом грубой силы.
По шкале серьезности, C-SS, эта ошибка оценивается в 8,8 баллов из 10 возможных, то есть имеет высокую степень риска.
В рекомендациях по безопасности, опубликованных Центром Интернет-Безопасности (CIS), пользователям версий TeamViewer до 15.8.3 советуют безотлагательно установить соответствующие патчи. Им также рекомендовано избегать ненадежных веб-сайтов или ссылок, предоставленных неизвестными, и "информировать пользователей об угрозах, создаваемых гипертекстовыми ссылками, содержащимися в электронных письмах или вложениях, особенно из ненадежных источников".
