TeamViewer 曝漏洞 浏览特定网页即可被无密码入侵

  • A+
所属分类:安全新闻

TeamViewer 曝漏洞 浏览特定网页即可被无密码入侵

风险等级: 8.8 高危

典型的本地权限提升漏洞

攻击者只需要构造一个特定的连接隐藏在恶意网页里.安装了Teamviewer的电脑浏览到该网页即可触发漏洞.

TeamViewer 曝漏洞 浏览特定网页即可被无密码入侵

TeamViewer 曝漏洞 浏览特定网页即可被无密码入侵

上图为CVE-2020-13699 PoC演示,在网页里使用一段不可见的iframe代码会启动TeamViewer Windows桌面客户端并迫使其打开远程SMB共享,也就是说攻击者无需知道TeamViewer的密码,该漏洞将自动把受害机的系统会话权限自动通过身份验证并获得权限.

Windows在打开SMB共享时将执行NTLM身份验证,并且可以转发该请求(使用诸如响应程序之类的工具)以执行代码(或捕获该请求以进行哈希破解)。

漏洞覆盖版本:

teamviewer10

teamviewer8

teamviewerapi

tvchat1

tvcontrol1

tvfiletransfer1

tvjoinv8

tvpresent1

tvsendfile1

tvsqcustomer1

tvsqsupport1

tvvideocall1

tvvpn1  。”

Windows的TeamViewer用户应考虑升级到新的程序版本:

8.0.258861

9.0.28860

10.0.258873

11.0.258870

12.0.258869

13.2.36220

14.2.56676

14.7.48350

15.8.3

文章来源:cnbeta

猜你喜欢  

安全圈】唐纳德·特朗普签署禁止TikTok和微信的行政命令

【安全圈】黑客攻击Reddit子版块并发布特朗普助选信息

【安全圈】路由器,交换机和AnyConnect VPN中的高度严重漏洞

【安全圈】美国禁止使用中国 App、BAT 云服务、电信运营商互联互通等

【安全圈】佳能服务器受到黑客攻击

【安全圈】信息泄漏的网络世界中怎么保护自己

【安全圈】推特史诗级漏洞!奥巴马盖茨马斯克账号全被黑,齐发诈骗消息

【安全圈】广东足协数据库被入侵,积分数据被恶意篡改!

【安全圈】Windows DNS服务器曝重大安全漏洞:可能形成蠕虫攻击
【安全圈】Weblogic 多个远程代码执行漏洞

【安全圈】GitHub崩了数小时,程序员强制下班,微软回复:机房服务器被小偷抱走了

【安全圈】0.5元一份!谁在出卖我们的人脸信息?

【安全圈】我是如何在4小时之内发现unc0ver越狱利用的0-day漏洞

TeamViewer 曝漏洞 浏览特定网页即可被无密码入侵
TeamViewer 曝漏洞 浏览特定网页即可被无密码入侵
你点的每个赞,我都认真当成了喜欢

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: