Teamviewer publica parche de emergencia para error en permisos de acceso

Teamviewer, compañía de soporte técnico de software a distancia, afirmó este martes que había publicado un parche de emergencia para un error que permite que usuarios que comparten una sesión de escritorio puedan controlar el equipo de los otros usuarios sin su permiso.

El error fue publicado este lunes por un usuario de Reddit, “xpl0yt”, quién citó una  prueba de concepto que explotaba la vulnerabilidad publicada en GitHub por un usuario llamado “gellin”. Teamviewer confirmó el lunes la existencia del error, y al día siguiente publicó un parche para los usuarios de Windows.

La falla afecta a las versiones de Teamviewer para Windows, macOS y Linux. El martes o miércoles por la tarde se publicará el parche para las versiones macOS y Linux, dijo Axel Schmidt, gerente de relaciones públicas de Teamviewer.

Esta vulnerabilidad de prueba de concepto permite que un atacante controle la sesión del presentador o del espectador sin el permiso de estos, explicó TJ Nelson, investigador en seguridad de Arbor Networks y del equipo ASERT Research que revisó la prueba de concepto (PoC).

“La vulneración en caso del presentador, permite habilitar una función “intercambiar lados” (que normalmente requiere del permiso del cliente) e intercambiar controles y lados, logrando así controlar el equipo del espectador. La vulneración en caso del espectador permite controlar el ratón del equipo del presentador, cualesquiera que sean los permisos o los ajustes que el presentador fijara”, continuó Nelson.

Gellin, en un artículo en el que describe la vulnerabilidad, dice que la raíz de la vulnerabilidad es una dll C++ inyectable que utiliza una conexión abierta en línea y una modificación directa de memoria para cambiar los permisos de Teamviewer. Esto permite que el atacante “habilite la función ‘intercambio de lados’, que normalmente sólo se activa después de autenticar el control con el cliente, e inicia el intercambio de control o lados”.

“Esto permite controlar el ratón sin importar los ajustes de control y los permisos del servidor”, afirma gellin.

En una entrevista con Threatpost, gellin indicó que para funcionar, el error requiere que ambos usuarios estén autenticados, y solo después el atacante puede inyectar el código PoC en sus propios procesos a través de una herramienta como el inyector DLL o algún tipo de mapeador de códigos.

“Una vez que se inyecta el código en el proceso, se lo programa para modificar los valores de la memoria dentro de tu propio proceso que habilita elementos GUI que permiten intercambiar el control de la sesión”, explicó gellin. “Una vez que haces la petición para intercambiar controles, no hay verificaciones adicionales en el lado del servidor antes de otorgarte el acceso”.

Gellin señala lo obvio. Si un atacante logra el control no autorizado de un equipo atacado, la víctima podría detectarlo fácilmente y detenerlo terminando la sesión. Sin embargo, continúa Gellin, antes de que se publicara el parche se podía fácilmente explotar esta falla para bloquear la visualización del host forzando el ennegrecimiento de la pantalla del equipo atacado para ocultar las actividades maliciosas.

Los parches se distribuirán automáticamente a los clientes que hayan configurado Teamviewer para aceptar actualizaciones automáticas, dijo Schmidt. Sin embargo, los parches podrían tardar entre tres y siete días antes de que se instale la actualización. A los usuarios que no tengan configurada la actualización automática, se les notificará sobre la disponibilidad de la actualización.

“Obviamente, los usuarios pueden solicitar una actualización a través del cliente”, afirmó Schmidt.

Nelson aconseja que los usuarios procedan rápidamente a reparar la falla. “Por lo general, este tipo de fallas se potencian rápida y ampliamente antes de repararse”, afirmó. “Este error es de particular interés para los ciberpiratas que se dedican a estafas de soporte técnico. El ciberpirata ya no necesita engañar a la víctima para que le ceda el control del sistema, ni ejecutar un programa malicioso, ya que ahora puede usar este error para obtener acceso por sí mismo”, sentenció.

Fuente: Threatpost