TeamViewer cho phép tin tặc đánh cắp mật khẩu hệ thống từ xa

16:00 | 21/08/2020 | HACKER / MALWARE

Một lỗ hổng nghiêm trọng trong TeamViewer trên Windows có thể bị tấn công từ xa để đánh cắp mật khẩu người dùng, thậm chí có thể cho phép khai thác hệ thống.

TeamViewer cho phép tin tặc đánh cắp mật khẩu hệ thống từ xa

Mới đây, TeamViewer đã phát hành bản vá cập nhật cho một lỗ hổng đặc biệt nghiêm trọng có định danh CVE 2020-13699. Nếu khai thác thành công, tin tặc có thể đánh cắp mật khẩu và xâm nhập hệ thống từ xa. Đáng lo ngại hơn, cuộc tấn công này có thể được thực hiện gần như tự động mà không cần nhiều tương tác của nạn nhân. Theo đó, tin tặc chỉ cần lừa nạn nhân nhấp vào đường dẫn chứa mã độc một lần duy nhất là có thể hoàn thành cuộc tấn công.

TeamViewer là một phần mềm điều khiển máy tính từ xa phổ biến hiện nay. Nó cho phép người dùng chia sẻ quyền điều khiển máy tính của họ một cách an toàn hoặc kiểm soát toàn bộ máy tính của người khác qua Internet từ khắp mọi nơi trên thế giới. Phần mềm truy cập từ xa này tương thích với nhiều nền tảng khác nhau, bao gồm: Windows, macOS, Linux, Chrome OS, iOS, Android, Windows RT, Windows Phone 8 và BlackBerry.

Được phát hiện bởi nhà nghiên cứu Jeffrey Hofmann thuộc công ty bảo mật Praetorian, lỗ hổng này được xếp loại mức rủi ro cao, nằm trong cách mà TeamViewer trích dẫn các trình xử lý URI tùy chỉnh của phần mềm, cho phép kẻ tấn công chuyển hướng yêu cầu xác thực NTLM (một giao thức thẩm định của Microsoft) tới hệ thống của chúng.

Cùng với đó, kẻ tấn công có thể lợi dụng URI scheme của TeamViewer từ một trang web để lừa ứng dụng đã cài đặt trên hệ thống của nạn nhân bắt đầu một kết nối từ xa với giao thức chia sẻ file SMB (một một giao thức chia sẻ tệp tin) mà chúng sở hữu.

Đầu tiên, tin tặc sẽ kích hoạt cuộc tấn công xác thực SMB, làm rò rỉ tên người dùng trên hệ thống và bản hash NTLMv2 của mật khẩu. Dựa trên thông tin bị rò rỉ, cho phép tin tặc sử dụng thông tin đăng nhập đánh cắp được để xác thực máy tính hoặc tài nguyên của nạn nhân.

Để khai thác thành công lỗ hổng, kẻ tấn công cần nhúng một iframe độc hại vào một trang web, sau đó lừa nạn nhân truy cập vào URL độc hại đó. Sau khi nạn nhân click vào, TeamViewer sẽ tự động khởi chạy trên Windows desktop của máy khách và mở giao thức chia sẻ file SMB từ xa. Sau đó, hệ điều hành Windows sẽ thực hiện xác thực NTLM khi mở chia sẻ SMB và yêu cầu đó có thể bị chuyển tiếp để thực thi mã.

TeamViewer đã vá lỗi bảo mật này bằng cách trích dẫn các tham số được truyền bởi các trình xử lý URI bị ảnh hưởng, ví dụ như URL: teamviewer10 Protocol “C:\Program Files (x86)\TeamViewer\TeamViewer.exe” “%1”

Mặc dù cho đến hiện tại, lỗ hổng này vẫn chưa ghi nhận khai thác trên thực tế, nhưng sự phổ biến của TeamViewer với hàng triệu người dùng trên toàn cầu khiến ứng dụng này luôn là mục tiêu tấn công của tin tặc. Do đó, người dùng được khuyến nghị nên nhanh chóng nâng cấp phần mềm của mình lên phiên bản 15.8.3, trước khi tin tặc bắt đầu lợi dụng khai thác lỗ hổng và xâm nhập vào hệ thống máy tính hệ điều hành Windows.

M.H

‹ › ×

Tin liên quan

Tin tặc Triều Tiên bị tố cáo tấn công các trang thương mại điện tử

17:00 | 23/07/2020

Theo báo cáo vừa được công bố của hãng bảo mật SanSec (Hà Lan), các tin tặc có nguồn gốc từ Triều Tiên đã và đang đột nhập vào các cửa hàng trực tuyến, trang web thương mại điện tử để cài mã độc nhằm đánh cắp thông tin thẻ tín dụng của người dùng.

Sử dụng RMS và Teamviewer tấn công vào lĩnh vực công nghiệp

08:00 | 06/01/2021

Trong báo cáo gần đây nhất của Kaspersky, các nhà nghiên cứu đã đưa ra thông tin chi tiết về những thay đổi trong kỹ thuật và công cụ của các chiến dịch tấn công mạng nhắm vào các hệ thống công nghiệp.

Cách kiểm tra độ an toàn của mật khẩu

07:00 | 18/01/2021

Mật khẩu từ lâu đã không còn là phương pháp bảo mật tốt nhất cho các tài khoản trực tuyến, đặc biệt là sau hàng loạt sự cố lộ thông tin đăng nhập người dùng trên Internet. Đó là một phần lý do khiến cho các phương pháp bảo mật chắc chắn hơn như xác minh nhiều lớp trở nên phổ biến.

Apple vá nhiều lỗ hổng trong các thành phần âm thanh

15:00 | 28/07/2020

Apple vừa phát hành bản vá khắc phục lỗ hổng trên các sản phẩm, bao gồm 5 lỗ hổng có thể cho phép thực thi mã tùy ý ảnh hưởng đến các thành phần âm thanh được các hệ điều hành sử dụng và 5 lỗ hổng ảnh hưởng đến macOS Catalina.

Cáp Lightning fake có thể đánh cắp dữ liệu người dùng

10:00 | 23/09/2020

Sự phát triển của công nghệ mang lại nhiều trải nghiệm hữu ích cho người dùng, nhưng cũng khiến chúng ta đối mặt với những nguy cơ tiềm ẩn, khó lường. Sợi cáp sạc Lightning fake có gắn chip theo dõi, có thể đánh cắp dữ liệu cá nhân của người dùng.

GHunt thu thập thông tin của tài khoản Google chỉ với địa chỉ Email

08:00 | 06/01/2021

GHunt là một công cụ mã nguồn mở để săn tìm các tài khoản Google đang hoạt động, kênh Youtube và các dịch vụ khác của Google mà người dùng sử dụng.

Cách bật tính năng chống mã độc tống tiền trên Windows

16:00 | 30/07/2020

Windows Defender là công cụ có sẵn trên Windows 10 giúp bảo vệ người dùng tránh khỏi các cuộc tấn công mạng. Tuy nhiên, ít người biết rằng công cụ này cũng có tính năng bảo vệ máy tính khỏi mã độc tống tiền (ransomware), nhưng lại bị vô hiệu hóa theo mặc định.

Tin cùng chuyên mục

Vén màn chiến dịch gián điệp mạng LightSpy

11:00 | 26/04/2024

Các nhà nghiên cứu của công ty an ninh mạng BlackBerry đã phát hiện một chiến dịch gián điệp mạng nhắm vào người dùng iPhone ở khu vực Nam Á, với mục đích phân phối payload của phần mềm gián điệp có tên là LightSpy. BlackBerry cho biết chiến dịch này có khả năng cho thấy sự tập trung mới của các tác nhân đe dọa vào các mục tiêu chính trị và căng thẳng trong khu vực.

Chiến dịch phần mềm Sign1 đã xâm phạm hơn 39.000 trang web WordPress

09:00 | 02/04/2024

Một chiến dịch phần mềm độc hại trên quy mô lớn có tên Sign1 đã xâm phạm hơn 39.000 trang web WordPress trong 6 tháng qua, sử dụng cách thức chèn mã JavaScript độc hại để chuyển hướng người dùng đến các trang web lừa đảo.

Biến thể mới của kỹ thuật tấn công DLL vượt qua các biện pháp bảo vệ của Windows 10, 11

08:00 | 19/01/2024

Các nhà nghiên cứu bảo mật đến từ Công ty an ninh mạng Security Joes (Israel) đã mô tả một cách chi tiết về một biến thể mới của kỹ thuật chiếm quyền điều khiển thứ tự tìm kiếm thư viện liên kết động (DLL) mà các tin tặc có thể sử dụng để vượt qua các cơ chế bảo mật và thực thi mã độc trên các hệ thống chạy Windows 10 và Windows 11.

Tập đoàn bán lẻ ô tô hàng đầu ở Australia bị tấn công mạng

08:00 | 08/01/2024

Eagers Automotive - Tập đoàn bán lẻ ô tô hàng đầu ở Australia và New Zealand xác nhận một sự cố tấn công mạng, gây ảnh hưởng đến một số hệ thống công nghệ thông tin khiến tập đoàn này phải tạm dừng mọi hoạt động giao dịch để ngăn chặn rò rỉ thông tin vào ngày 28/12 vừa qua.