Vulnerabilidad crítica en TeamViewer (Parchea!)
El equipo de TeamViewer publicó una nueva versión de su software que incluye un parche para una vulnerabilidad grave (CVE-2020-13699), que, si se explota, podría permitir que atacantes remotos roben la contraseña de su sistema y eventualmente la comprometan.
Las versiones afectadas son todas desde la 8 hasta la 15.8.2.Lo que
es más preocupante es que el ataque se puede ejecutar casi automáticamente
sin requerir mucha interacción de las víctimas y simplemente convenciéndolas
de que visiten una página web maliciosa una vez.
Descubierta por Jeffrey Hofmann de Praetorian, la vulnerabilidad de alto riesgo recientemente reportada reside en la
forma en que TeamViewer cita sus controladores URI personalizados, lo que
podría permitir a un atacante forzar al software a transmitir una solicitud de autenticación NTLM al sistema del atacante.
En términos
simples, un atacante puede aprovechar el esquema URI de TeamViewer desde una
página web para engañar a la aplicación instalada en el sistema de la
víctima para que inicie una conexión al recurso compartido SMB remoto
propiedad del atacante.

Esto, a su vez, desencadena el ataque de autenticación SMB, filtra el
nombre de usuario del sistema y la versión en hash NTLMv2 de la contraseña
a los atacantes, lo que les permite usar credenciales robadas para
autenticar la computadora o los recursos de red de las víctimas.
Para
aprovechar con éxito la vulnerabilidad, un atacante necesita incrustar un
iframe malicioso en un sitio web y luego engañar a las víctimas
para que visiten esa URL creada con fines malintencionados. Una vez que la
víctima haga clic, TeamViewer iniciará automáticamente su cliente de
escritorio de Windows y abrirá un recurso compartido SMB remoto.
Ahora,
el sistema operativo Windows de la víctima realizará la autenticación NTLM
al abrir el recurso compartido SMB y esa solicitud se puede transmitir
(utilizando una herramienta como "responder") para la ejecución del
código (o capturarse para descifrar el hash). Esta vulnerabilidad,
categorizada como "Controlador de URI sin comillas", afecta a los
controladores de URI teamviewer10, teamviewer8, teamviewerapi, tvchat1,
tvcontrol1, tvfiletransfer1, tvjoinv8, tvpresent1, tvsendfile1,
tvsqcustomer1, tvsqsupport1, tvvideocalln1, y tvVideopn1.
El
proyecto TeamViewer v15.8.3 corrigió la vulnerabilidad agregado comillas a los
parámetros pasados por los controladores de URI afectados, por ejemplo:
URL:teamviewer10 Protocol
"C:\Archivos de programa (x86)\TeamViewer\TeamViewer.exe" "%1"
Aunque la vulnerabilidad no se está explotando activamente,
considerando la popularidad del software entre millones de usuarios,
TeamViewer siempre ha sido un objetivo de interés para los atacantes.
Por
lo tanto, se recomienda encarecidamente a los usuarios que actualicen su
software a la versión 15.8.3, ya que apenas es cuestión de tiempo antes de
que los delincuentes informáticos comiencen a explotar la falla para
piratear las PC con Windows de los usuarios.
Un vector de
ataque de autenticación SMB similar se reveló anteriormente en
Google Chrome,
Zoom video conferencing
app, y
Signal messenger.
Fuente: THN
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!