TeamViewer es un software de escritorio remoto tan popular como interesante, ya que permite acceder a un equipo informático desde la habitación de al lado o desde el otro lado del mundo a través de Internet
TeamViewer ofrece funciones de control remoto, uso compartido de escritorio, reuniones en línea, conferencias web, impresión remota o transferencia de archivos entre computadoras. Herramientas de gran potencia y alcance disponibles para todas las plataformas principales, Windows, Mac, Linux, móviles o hasta la Raspberry Pi.
De ahí que cualquier vulnerabilidad de seguridad suponga un problema para equipos y redes. El equipo de TeamViewer ha publicado una nueva versión del software que incluye un parche para una vulnerabilidad de alto riesgo para Windows (CVE 2020-13699), que, de ser explotada, podría permitir que atacantes remotos roben la contraseña del sistema y eventualmente lo comprometan.
Lo que es más preocupante es que el ataque puede ejecutarse casi automáticamente sin requerir mucha interacción de las víctimas, simplemente convenciéndolas de que visiten una página web maliciosa preparada al efecto una sola vez.
Descubierta por la firma de ciberseguridad Praetorian, la vulnerabilidad reside en la manera que TeamViewer cita sus controladores de URI personalizados, lo que podría permitir que un atacante obligue al software a transmitir una solicitud de autenticación NTLM al sistema del atacante.
En términos simples, un atacante puede aprovechar el esquema de URI de TeamViewer desde una página web para engañar a la aplicación instalada en el sistema de la víctima, con el fin de iniciar una conexión con el recurso compartido SMB remoto propiedad del atacante.
Para aprovechar con éxito la vulnerabilidad, un atacante necesita incrustar un iframe malicioso en un sitio web y luego engañar a las víctimas para que visiten esa URL. Una vez que la víctima hace clic una sola vez ya está perdido. TeamViewer iniciará automáticamente su cliente de escritorio de Windows y abrirá un recurso compartido SMB remoto.
El sistema operativo Windows de la víctima «realizará la autenticación NTLM al abrir el recurso compartido SMB y esa solicitud se puede transmitir (utilizando una herramienta como el respondedor) para la ejecución del código (o capturarse para descifrar el hash)», explican desde Praetorian. Vectores de ataques similares (autenticación SMB) se han conocido reciente contra Chrome, Zoom y Signal Messenger.
No se conoce que la vulnerabilidad haya llegado a explotarse, pero teniendo en cuenta la popularidad del software entre millones de usuarios y que TeamViewer siempre ha sido un objetivo de interés para los atacantes, se recomienda encarecidamente a los usuarios que actualicen a la última versión 15.8.3 donde se ha corregido la vulnerabilidad.
La entrada Si usas TeamViewer, asegúrate que tienes instalada la última versión es original de MuySeguridad. Seguridad informática.
