Vulnerabilidad crítica en TeamViewer permite descifrar contraseñas

TeamViewer es un software que permite conectarse remotamente a otro equipo. Entre sus funciones están: compartir y controlar escritorios, reuniones en línea, videoconferencias y transferencia de archivos entre ordenadores y cuenta con versiones para todos los sistemas operativos.

¿Qué pasó?

Recientemente un investigador ha hecho público una vulnerabilidad en TeamViewer para el cual se ha reservado el identificador CVE-2019-18988 y ha sido catalogada como crítica. Hasta a la fecha TeamViewer no ha publicado ningún aviso oficial confirmando la vulnerabilidad y por lo tanto, tampoco son conocidas con exactitud las versiones del software que están afectadas. El investigador afirma que todas las versiones de Teamviewer publicadas desde el año 2012, hasta la última versión conocida son vulnerables.

El fallo se da debido a cómo TeamViewer almacena las contraseñas de usuarios, las mismas se cifran con AES-128-CBC con clave 0602000000a400005253413100040000 y con iv (vector de inicialización presente en funciones hash criptográficas) 0100010067244F436E6762F25EA8D704 en el registro de Windows, en otras palabras TeamViewer almacena las contraseñas de los usuarios encriptadas y la clave para descifrarlos en el registro de Windows. Lo que permite a un atacante descifrar contraseñas utilizadas en TeamViewer y si estas contraseñas son utilizadas en cualquier otro lugar posibilita escalar privilegios, e incluso si el atacante no dispone de derechos RDP (Remote Desktop Protocol), pero si tiene el TeamViewer instalado, el atacante puede usar TeamViewer para conectarse de forma remota. Además como TeamViewer permite copiar datos o programar tareas para ejecutarlas a través de su servicio, el cual se ejecuta como NT AUTHORITY\SYSTEM un usuario con pocos privilegios puede escalar privilegios inmediatamente a SYSTEM mediante un archivo .bat.

Actualmente existe un exploit público y puede ver un ejemplo de explotación disponible: aquí

Recomendaciones:

  • Desde TeamViewer aún no han lanzado las actualizaciones/parches de seguridad y tampoco se conocen medidas de mitigación para reducir la explotación de la misma, por lo que es recomendable estar atentos a las actualizaciones/parches de seguridad e instalarlos lo más pronto posible.
  • Además, en organizaciones con procesos y /o información críticos o altamente sensibles, se recomienda analizar la posibilidad de utilizar un software alternativo, hasta tanto la falla se resuelva.

Referencias:

Compartir: