Importante Vulnerabilità su TeamViewer

Proto: N010220.

Con la presente Yoroi desidera informarLa riguardo ad una vulnerabilità all’interno di TeamViewer, soluzione per l’amministrazione e l’accesso remoto diffusa in vari ambienti SMB ed Enterprise.  La criticità è nota con l’identificativo CVE-2019-18988.

Ricercatori indipendenti hanno scoperto una importante lacuna nel salvataggio delle credenziali utilizzate dal servizio di assistenza remota, le quali non risultano protette da Hashing. Un attaccante con accesso ad un PC con una delle versioni TeamViewer vulnerabili può ottenere privilegi amministrativi e recuperare le password utilizzate dal servizio di accesso remoto, potenzialmente utilizzabili per instaurare sessioni amministrative sugli ulteriori host di rete muniti di istanze TeamViewer. 

In base alle informazioni reperite, il Vendor risulta al corrente della situazione da più di 90 giorni, tuttavia non sono ancora stati rilasciati bollettini di sicurezza. I ricercatori hanno verificato la criticità per le versioni TeamViewer da 7 a 14, non è al momento confermato se la versione 15 risulti afflitta. 

Considerando la potenziale diffusione del software all’interno dei parchi macchine IT aziendali, la disponibilità di dettagli tecnici e strumenti di attacco, e l’esistenza di gruppi APT organizzati che sfruttano proprio credenziali TeamViewer per propagarsi all’interno delle reti (e.g. APT-41), Yoroi consiglia di monitorare il rilascio di aggiornamenti di sicurezza per TeamViewer e, nel mentre, di valutare la disabilitazione dell’avvio automatico dei servizi di accesso remoto (servizi “TeamViewer<VERSIONE>”) e di limitare li ri-utilizzo delle password TeamViewer.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index