La faille TeamViewer pourrait permettre aux pirates de voler le mot de passe du système à distance

Si vous utilisez TeamViewer, méfiez-vous et assurez-vous que vous exécutez la dernière version du logiciel populaire de connexion de bureau à distance pour Windows.

L’équipe TeamViewer a récemment publié une nouvelle version de son logiciel qui comprend un correctif pour une vulnérabilité grave (CVE 2020-13699), qui, s’il est exploité, pourrait permettre à des attaquants distants de voler votre mot de passe système et éventuellement de le compromettre.

Ce qui est plus inquiétant, c’est que l’attaque peut être exécutée presque automatiquement sans nécessiter beaucoup d’interaction de la part des victimes et simplement en les convaincant de visiter une fois une page Web malveillante.

Pour ceux qui ne le savent pas, TeamViewer est un logiciel de support à distance populaire qui permet aux utilisateurs de partager en toute sécurité leur bureau ou de prendre le contrôle total du PC des autres sur Internet depuis n’importe où dans le monde.

Le logiciel d’accès à distance est disponible pour les systèmes d’exploitation de bureau et mobiles, notamment Windows, macOS, Linux, Chrome OS, iOS, Android, Windows RT, Windows Phone 8 et BlackBerry.

Découverte par Jeffrey Hofmann de Praetorian, la vulnérabilité à haut risque récemment signalée réside dans la façon dont TeamViewer cite ses gestionnaires d’URI personnalisés, ce qui pourrait permettre à un attaquant de forcer le logiciel à relayer une demande d’authentification NTLM vers le système de l’attaquant.

En termes simples, un attaquant peut exploiter le schéma d’URI de TeamViewer à partir d’une page Web pour tromper l’application installée sur le système de la victime en initiant une connexion au partage SMB distant appartenant à l’attaquant.

Ceci, à son tour, déclenche l’attaque d’authentification SMB, divulgue le nom d’utilisateur du système et la version hachée NTLMv2 du mot de passe aux attaquants, leur permettant d’utiliser des informations d’identification volées pour authentifier l’ordinateur ou les ressources réseau des victimes.

Pour réussir à exploiter la vulnérabilité, un attaquant doit intégrer une iframe malveillante sur un site Web, puis inciter les victimes à visiter cette URL conçue de manière malveillante. Une fois cliqué par la victime, TeamViewer lancera automatiquement son client de bureau Windows et ouvrira un partage SMB distant.

Désormais, le système d’exploitation Windows de la victime « effectuera une authentification NTLM lors de l’ouverture du partage SMB et cette demande peut être relayée (à l’aide d’un outil tel que le répondeur) pour l’exécution de code (ou capturée pour le hachage de hachage) ».

Cette vulnérabilité, classée comme « Gestionnaire d’URI non guillemets », affecte « les gestionnaires d’URI teamviewer10, teamviewer8, teamviewerapi, tvchat1, tvcontrol1, tvfiletransfer1, tvjoinv8, tvpresent1, tvsendfile1, tvsqcustomer1, tvsqsupport1, tvvideocpall1, et » Hofmann a dit.

Le projet TeamViewer a corrigé la vulnérabilité en citant les paramètres transmis par les gestionnaires d’URI concernés, par exemple, URL: protocole teamviewer10 « C: Program Files (x86) TeamViewer TeamViewer.exe » « % 1 »

Bien que la vulnérabilité ne soit pas exploitée à l’état sauvage pour le moment, compte tenu de la popularité du logiciel parmi des millions d’utilisateurs, TeamViewer a toujours été une cible d’intérêt pour les attaquants.

Il est donc fortement recommandé aux utilisateurs de mettre à niveau leur logiciel vers la 15.8.3, car ce n’est guère une question de temps avant que les pirates informatiques ne commencent à exploiter la faille pour pirater les PC Windows des utilisateurs.

Un vecteur d’attaque d’authentification SMB similaire a déjà été divulgué dans Google Chrome, l’application de vidéoconférence Zoom et Signal messenger.