Phát hiện lỗ hổng bảo mật trên TeamViewer cho phép hacker đánh cắp mật khẩu hệ thống từ xa

Kyr Doo-Hyun

Gần đây, nhóm phát triển phần mềm kết nối/điều khiển máy tính từ xa TeamViewer đã phát hành một bản cập nhật đột xuất để vá một lỗ hổng bảo mật nghiêm trọng. Nếu bị khai thác, lỗ hổng có tên mã CVE 2020-13699 này cho phép hacker đánh cắp mật khẩu hệ thống máy tính của bạn từ xa và sau đó xâm nhập để thực hiện các hành vi phá hoại.

Đáng lo ngại hơn, cuộc tấn công này có thể được thực hiện gần như tự động, không cần nhiều tương tác của nạn nhân. Hacker chỉ cần lừa nạn nhân nhấp vào đường link chứa mã độc một lần duy nhất là có thể hoàn thành cuộc tấn công.

Người dùng nên mau chóng cập nhật TeamViewer bản mới nhất để tránh gặp rủi ro bảo mật

TeamViewer là phần mềm kết nối/điều khiển máy tính từ xa phổ biến nhất trên thế giới hiện tại. Nó cho phép người dùng điều khiển máy tính của người khác hoặc ngược lại qua Internet, bất chấp mọi khoảng cách vật lý.

Lỗ hổng CVE 2020-13699 được phát hiện bởi nhà nghiên cứu Jeffrey Hofmann. Theo TeamViewer, vấn đề nằm ở cách họ trích dẫn các trình xử lý URL tùy chỉnh của mình, cho phép hacker chuyển hướng yêu cầu xác thực NTLM đến hệ thống của chúng.

Nói một cách dễ hiểu, hacker có thể sử dụng lược đồ URL của TeamViewer từ một trang web để đánh lừa các ứng dụng trên hệ thống của nạn nhân thiết lập kết nối tới phần mềm chia sẻ SMB từ xa của chúng. Quá trình này kích hoạt cuộc tấn công xác thực SMB, làm rò rỉ thông tin đăng nhập của hệ thống giúp hacker chiếm quyền kiểm soát hệ thống hoặc đánh cắp dữ liệu của nạn nhân.

Để khai thác được CVE 2020-13699, hacker sẽ phải nhúng iframe chứa mã độc vào một trang web sau đó lừa nạn nhân truy cập vào URL của trang web đó. Sau khi nạn nhân nhấp vào URL, TeamViewer sẽ tự khởi chạy ứng dụng chứa mã độc trên máy tính Windows của nạn nhân và mở chia sẻ SMB từ xa.

Tiếp theo, hệ điều hành Windows của nạn nhân sẽ thực hiện xác thực NTLM khi mở chia sẻ SMB và yêu cầu đó có thể được chuyển tiếp để thực thi code đánh cắp dữ liệu, mật khẩu.

Để tránh bị ảnh hưởng, TeamViewer khuyến cáo người dùng nên nâng cấp ngay lên phiên bản 15.8.3. Trước đó, cả Google Chrome, Zoom và Signal cũng đã từng bị tấn công xác thực SMB.