Si está utilizando TeamViewer, tenga cuidado y asegúrese de estar ejecutando la última versión del popular software de conexión de escritorio remoto para Windows.
El equipo de TeamViewer lanzó recientemente una nueva versión de su software que incluye un parche para una vulnerabilidad grave (CVE 2020-13699) que, si se explota, podría permitir que los atacantes remotos roben la contraseña de su sistema y eventualmente la comprometan.
Lo que es más preocupante es que el ataque puede ejecutarse casi automáticamente sin requerir mucha interacción de las víctimas y simplemente convenciéndolas de visitar una página web maliciosa una vez.
Para aquellos que no lo saben, TeamViewer es un popular software de soporte remoto que permite a los usuarios compartir de forma segura su escritorio o tomar el control total de la PC de otros a través de Internet desde cualquier parte del mundo.
El software de acceso remoto está disponible para sistemas operativos de escritorio y móviles, incluidos Windows, macOS, Linux, Chrome OS, iOS, Android, Windows RT, Windows Phone 8 y BlackBerry.
Descubierta por Jeffrey Hofmann de Praetorian, la vulnerabilidad de alto riesgo recientemente informada reside en la forma en que TeamViewer cita sus controladores de URI personalizados, lo que podría permitir que un atacante obligue al software a transmitir una solicitud de autenticación NTLM al sistema del atacante.
En términos simples, un atacante puede aprovechar el esquema URI de TeamViewer desde una página web para engañar a la aplicación instalada en el sistema de la víctima para que inicie una conexión con el recurso compartido SMB remoto propiedad del atacante.
Esto, a su vez, desencadena el ataque de autenticación SMB, filtra el nombre de usuario del sistema y la versión hash NTLMv2 de la contraseña a los atacantes, lo que les permite usar las credenciales robadas para autenticar la computadora o los recursos de red de las víctimas.
Para explotar con éxito la vulnerabilidad, un atacante necesita incrustar un iframe malicioso en un sitio web y luego engañar a las víctimas para que visiten esa URL creada con fines maliciosos. Una vez que la víctima haga clic, TeamViewer iniciará automáticamente su cliente de escritorio de Windows y abrirá un recurso compartido SMB remoto.
Ahora, el sistema operativo Windows de la víctima «realizará la autenticación NTLM al abrir el recurso compartido SMB y esa solicitud se puede transmitir (usando una herramienta como respondedor) para la ejecución del código (o capturada para el descifrado de hash)».
Esta vulnerabilidad, clasificada como ‘Manejador de URI sin comillas’, afecta a los «manejadores de URI teamviewer10, teamviewer8, teamviewerapi, tvchat1, tvcontrol1, tvfiletransfer1, tvjoinv8, tvpresent1, tvsendfile1, tvsqcustomer1, tvsqsupport1, tvvideocall1, tvvideocall1
El proyecto TeamViewer ha parcheado la vulnerabilidad citando los parámetros pasados por los controladores URI afectados, por ejemplo, URL: teamviewer10 Protocolo «C: Archivos de programa (x86) TeamViewer TeamViewer.exe» «% 1»
Aunque la vulnerabilidad no se está explotando de forma generalizada a partir de ahora, teniendo en cuenta la popularidad del software entre millones de usuarios, TeamViewer siempre ha sido un objetivo de interés para los atacantes.
Por lo tanto, se recomienda encarecidamente a los usuarios que actualicen su software a 15.8.3, ya que no es cuestión de tiempo antes de que los piratas informáticos comiencen a explotar la falla para piratear las PC con Windows de los usuarios.
Un vector de ataque de autenticación SMB similar se reveló previamente en Google Chrome, la aplicación de videoconferencia Zoom y Signal Messenger.
