Lỗi bảo mật trên TeamViewer cho phép tin tặc đánh cắp mật khẩu hệ thống từ xa

Nếu bạn đang sử dụng TeamViewer thì hãy cẩn trọng và đảm bảo là máy tính của mình đang chạy trên phiên bản mới nhất của phần mềm này cho Windows. 

TeamViewer gần đây đã phát hành một bản cập nhật phần mềm mới bao gồm bản vá cho một lỗ hổng đặc biệt nghiêm trọng với số hiệu CVE 2020-13699. Lỗ hổng này nếu bị khai thác sẽ khiến kẻ tấn công từ xa có thể đánh cắp mật khẩu và xâm nhập vào hệ thống mục tiêu.

Đáng quan ngại hơn, cuộc tấn công này có thể được thực thi gần như tự động mà không cần nhiều sự tương tác từ nạn nhân. Kẻ tấn công đơn giản chỉ cần thuyết phục những nạn nhân này truy cập vào một trang web độc hại một lần.

TeamViewer là một phần mềm điều khiển máy tính từ xa phổ biến hiện nay. Nó cho phép người dùng chia sẻ quyền điều khiển máy tính của họ một cách an toàn hoặc kiểm soát toàn bộ PC của người khác qua Internet từ khắp mọi nơi trên thế giới.

Phần mềm truy cập từ xa này tương thích với nhiều nền tảng khác nhau, bao gồm Windows, macOS, Linux, Chrome OS, iOS, Android, Windows RT Windows Phone 8 và BlackBerry.

Được phát hiện bởi Jeffrey Hofmann thuộc công ty an ninh mạng Praetorian, lỗ hổng này xuất hiện trong cách TeamViewer trích dẫn các trình xử lý URI tùy chỉnh (custom URI handler). Nếu bị khai thác, nó có thể cho phép kẻ tấn công điều khiển phần mềm và chuyển tiếp yêu cầu xác thực NTLM đến hệ thống của chúng.

Nói một cách dễ hiểu, kẻ tấn công có thể lợi dụng URI scheme của TeamViewer từ một trang web để lừa ứng dụng đã cài đặt trên hệ thống của nạn nhân bắt đầu một kết nối từ xa với giao thức chia sẻ file SMB mà chúng sở hữu.

windows password hacking

Điều này, đầu tiên sẽ kích hoạt cuộc tấn công xác thực SMB, làm rò rỉ tên người dùng trên hệ thống và bản hash NTLMv2 của mật khẩu cho kẻ tấn công, sau đó cho phép chúng sử dụng thông tin đăng nhập đánh cắp được để xác thực máy tính hoặc tài nguyên mạng của nạn nhân.

Để khai thác thành công lỗ hổng, kẻ tấn công cần nhúng một iframe độc ​​hại vào một trang web, sau đó lừa nạn nhân truy cập vào URL độc hại đó. Sau khi nạn nhân click vào, TeamViewer sẽ tự động khởi chạy Windows desktop client và mở giao thức chia sẻ file SMB từ xa.

Sau đó, Windows OS của nạn nhân sẽ “thực hiện xác thực NTLM khi mở chia sẻ SMB và  request đó có thể bị chuyển tiếp (bằng cách sử dụng một công cụ như responder – trình phản hồi) để thực thi mã (hoặc bị ghi lại để bẻ khóa hàm băm – hash cracking).”

Lỗ hổng này, được phân loại là ‘Unquoted URI handler’, ảnh hưởng đến “trình xử lý URI của teamviewer10, teamviewer8, teamviewerapi, tvchat1, tvcontrol1, tvfiletransfer1, tvjoinv8, tvpresent1, tvsendfile1, tvsqcustomer1, tvsqsupport1, tvvideocall1, và tvvpn1,” Hofmann nói .

TeamViewer đã vá lỗi bảo mật này bằng cách trích dẫn các tham số được truyền bởi các trình xử lý URI bị ảnh hưởng, ví dụ như URL: teamviewer10 Protocol “C:\Program Files (x86)\TeamViewer\TeamViewer.exe” “%1”

Mặc dù cho đến hiện tại, lỗ hổng này vẫn chưa được khai thác trên thực tế, nhưng sự phổ biến của TeamViewer với hàng triệu người dùng trên toàn cầu khiến nó luôn là mục tiêu tấn công yêu thích của tin tặc.

Do đó, người dùng được khuyến nghị nên nhanh chóng nâng cấp phần mềm của mình lên phiên bản 15.8.3, trước khi tin tặc bắt đầu lợi dụng khai thác lỗ hổng và xâm nhập vào hệ thống PC Windows của họ.

Được biết một vectơ tấn công xác thực SMB tương tự cũng được tìm thấy trước đây trên Google Chrome, ứng dụng hội nghị trực tuyến Zoom và ứng dụng Signal messenger.

Theo The Hacker News

Theo securitydaily.net