TeamViewer全系版本空口令高危漏洞安全风险通告
发布日期:2020-08-10
漏洞描述
2020年08月10日,TeamViewer官方发布了TeamViewer URL处理的风险通告TeamViewer存在未引用的搜索路径或元素的安全缺陷,更具体地说,这是由于应用程序没有正确引用它的自定义URI处理程序,当安装了TeamViewer的易受攻击版本的用户访问恶意创建的网站时,可能会被黑客利用。
对此,禹宏信安建议广大用户及时将TeamViewer升级到15.8.3版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
漏洞编号
CVE-2020-13699
漏洞危害
攻击者可以使用精心制作的URL将恶意iframe嵌入网站中,这将启动TeamViewer Windows桌面客户端并强制其执行以下操作:打开远程SMB共享。Windows在打开SMB共享时将执行NTLM身份验证,并且可以将请求进行转发(使用诸如响应程序之类的工具)以执行代码(或捕获以进行哈希破解)。
漏洞等级
高危
受影响版本
TeamViewer < 8.0.258861
TeamViewer < 9.0.28860
TeamViewer < 10.0.258873
TeamViewer < 11.0.258870
TeamViewer < 12.0.258869
TeamViewer < 13.2.36220
TeamViewer < 14.2.56676
TeamViewer < 15.8.3
修复方案
目前厂商已发布补丁修复了上述漏洞,请用户参考官方通告及时下载受影响产品更新补丁。补丁获取链接:
https://community.teamviewer.com/t5/Announcements/Statement-on-CVE-2020-13699/td-p/98448。
参考链接
- https://community.teamviewer.com/t5/Announcements/Statement-on-CVE-2020-13699/td-p/98448
- https://nvd.nist.gov/vuln/detail/CVE-2020-13699