TeamViewer, uzaktan kontrol, masaüstü paylaşımı, çevrimiçi toplantılar, web konferansı ve bilgisayarlar arasında dosya aktarımı gibi özelliklere sahip popüler bir yazılım uygulamasıdır.
TeamViewer için kısa süre önce, Saldırganlar tarafından sistem şifresini çalmak ve potansiyel olarak zararlı amaçlar doğrultusunda kullanılabilecek yüksek riskli bir güvenlik açığı (CVE 2020-13699) tespit edildi. “Unquoted URI handler” olarak sınıflandırılan güvenlik açığı, kurbanların kötü niyetli olarak oluşturulmuş bir web sitesini ziyaret etmesiyle ortaya çıkmaktadır.
Güvenlik açığı, Praetorian’dan araştırmacı Jeffrey Hofmann tarafından keşfedildi. Bu açık TeamViewer’ın özel URI işleyicilerindeki tırnak ifade biçimlerinde yer almaktadır. İlgili açıklık sayesinde saldırgan, kurbanın kendisine NTLM doğrulaması göndermesini sağlamaktadır. TeamViewer’ın URL şemasındaki sorun, saldırgan tarafından hazırlanmış bir web sayfasının kullanılmasıyla ortaya çıkmaktadır. Saldırgan, kurbanın sisteminde yüklü olan uygulamayı, saldırganın sahip olduğu uzak SMB paylaşımına bir bağlantı başlatması için kandırmasına olanak tanımaktadır. Bu, SMB kimlik doğrulama işleminin sistemin kullanıcı adını ve şifrenin NTLMv2 hashing uygulanmış sürümünü saldırganlara sızdıracağı anlamına gelmektedir.
Saldırgan, bir web sitesine kötü amaçlı bir iframe yerleştirebilmektedir. Bunun ardından kurbanları bu kötü niyetli URL’yi ziyaret etmeleri için kandırmaktadır. Kurbanlar paylaşılan bağlantıya tıkladıktan sonra TeamViewer, Windows masaüstü istemcisini otomatik olarak başlatmaktadır ve bunun sonucunda uzak bir SMB paylaşımı aktif hale gelmektedir. Windows, SMB paylaşımını açarken NTLM kimlik doğrulaması gerçekleştirecek ve bu istek, kod yürütme için (yanıtlayıcı gibi bir araç kullanılarak) aktarılabilmektedir.
TeamViewer, etkilenen URL işleyicileri tarafından iletilen parametreleri alıntılayarak sorunu çözdü.
Güvenlik açığı, Windows platformu için TeamViewer’ın 8-15 sürümlerini (15.8.2’ye kadar) etkilemektedir. TeamViewer, sorunu çözmek için 15.8.3 sürümünü yayınladı ve kullanıcıların yeni sürümü kullanmaları önerilmektedir.
Kaynak:
