idNSA.id - Jika Anda menggunakan TeamViewer, berhati-hatilah dan pastikan Anda menjalankan versi terbaru dari perangkat lunak koneksi desktop jarak jauh yang populer untuk Windows.
Tim TeamViewer baru-baru ini merilis versi baru perangkat lunaknya yang menyertakan perbaikan untuk kerentanan parah ( CVE 2020-13699 ), yang jika dieksploitasi, dapat membuat penyerang jarak jauh mencuri kata sandi sistem Anda dan akhirnya membobolnya.
Yang lebih mengkhawatirkan adalah bahwa serangan tersebut dapat dilakukan hampir secara otomatis tanpa memerlukan banyak interaksi dari korban dan hanya dengan meyakinkan mereka untuk mengunjungi halaman web jahat sekali.
Bagi mereka yang tidak sadar, TeamViewer adalah perangkat lunak dukungan jarak jauh populer yang memungkinkan pengguna berbagi desktop mereka dengan aman atau mengambil kendali penuh atas PC orang lain melalui Internet dari mana saja di dunia.
Perangkat lunak akses jarak jauh tersedia untuk sistem operasi desktop dan seluler, termasuk Windows, macOS, Linux, Chrome OS, iOS, Android, Windows RT, Windows Phone 8, dan BlackBerry.
Ditemukan oleh Jeffrey Hofmann dari Praetorian, kerentanan berisiko tinggi yang baru dilaporkan berada pada cara TeamViewer mengutip penangan URI kustomnya, yang memungkinkan penyerang memaksa perangkat lunak untuk menyampaikan permintaan otentikasi NTLM ke sistem penyerang.
Sederhananya, penyerang dapat memanfaatkan skema URI TeamViewer dari halaman web untuk mengelabui aplikasi yang diinstal pada sistem korban agar memulai koneksi ke berbagi SMB jarak jauh milik penyerang.
Hal ini, pada gilirannya, memicu serangan otentikasi SMB, membocorkan nama pengguna sistem, dan versi hash NTLMv2 dari kata sandi ke penyerang, memungkinkan mereka menggunakan kredensial curian untuk mengotentikasi komputer korban atau sumber daya jaringan.
Agar berhasil mengeksploitasi kerentanan, penyerang perlu menyematkan iframe berbahaya di situs web dan kemudian mengelabui korban agar mengunjungi URL perusak yang berbahaya tersebut. Setelah diklik oleh korban, TeamViewer akan secara otomatis meluncurkan klien desktop Windows-nya dan membuka berbagi SMB jarak jauh.
Sekarang, OS Windows korban akan "melakukan otentikasi NTLM saat membuka berbagi SMB dan permintaan itu dapat diteruskan (menggunakan alat seperti responder) untuk eksekusi kode (atau ditangkap untuk pemecahan hash)."
Kerentanan ini, dikategorikan sebagai 'kuotasi URI handler,' mempengaruhi "URI handler teamviewer10, teamviewer8, teamviewerapi, tvchat1, tvcontrol1, tvfiletransfer1, tvjoinv8, tvpresent1, tvsendfile1, tvsqcustomer1, tvsqsupport1, tvvideocall1, dan tvvpn1," kata Hofmann .
Proyek TeamViewer telah memperbaiki kerentanan dengan mengutip parameter yang diteruskan oleh penangan URI yang terpengaruh, misalnya, URL: teamviewer10 Protocol "C: \ Program Files (x86) \ TeamViewer \ TeamViewer.exe" "% 1"
Meskipun kerentanan tidak dieksploitasi di alam liar seperti sekarang, mengingat popularitas perangkat lunak di antara jutaan pengguna, TeamViewer selalu menjadi target minat para penyerang.
Jadi, pengguna sangat disarankan untuk memutakhirkan perangkat lunak mereka ke versi 15.8.3, karena hampir tidak masalah waktu sebelum peretas mulai mengeksploitasi kekurangan tersebut untuk meretas ke dalam PC Windows pengguna.
Vektor serangan otentikasi SMB yang serupa sebelumnya diungkapkan di Google Chrome , aplikasi konferensi video Zoom , dan messenger Signal.
Sumber Artikel: TheHackerNews
