首頁 > 安全研究 > 安全通報 > 安全通告

TeamViewer客戶端被遠程控制事件安全通告

發布時間 2019-10-12

漏洞編號和級別


CVE編號:暫無,危險級別:高危,CVSS分值:官方未評定


影響版本


任何安裝了TeamViewer的客戶端


漏洞概述


TeamViewer是一個能在任何防火墻和NAT代理的后臺用于遠程控制的應用程序,桌面共享和文件傳輸的簡單且快速的解決方案。為了連接到另一臺計算機,只需要在兩臺計算機上同時運行 TeamViewer 即可,而不需要進行安裝(也可以選擇安裝,安裝后可以設置開機運行)。該軟件第一次啟動在兩臺計算機上自動生成伙伴 ID。只需要輸入你的伙伴的ID到TeamViewer,然后就會立即建立起連接。


2019年10月11日,火眼舉辦的FireEyeSummit大會上,幾張演講的PPT拍照被公開到網上,其中一張提及到一款非常流行的遠程控制軟件TeamViewer曾經疑似被黑客組織入侵,并稱其可以訪問安裝了TeamViewer的任何系統。




其實Teamviewer很早就被各大黑客組織盯上了,被利用作為后門程序。早在2016年也報道出了黑客組織入侵的事件。該事件中,惡意軟件啟動TeamViewer后,其會獲取TeamViewer窗口的用戶ID(leon)以及密碼(vivi),并將主機名+ “|” + 用戶名(well),以及固定的一串VPD開頭的值(vip),構造成數據包的主要內容。當攻擊者獲取到受害者的Teamviewer賬號和密碼后,其就會進行回連以便控制受害者電腦并進行進一步操作。TeamViewer發言人透露,該公司調查了入侵的企圖,但沒有發現任何暴露客戶數據和敏感數據的證據。


廠商對此次事件沒有回應,消息暫未得到證實,近期沒有發現TeamViewer被攻擊植入惡意代碼事件,建議采取措施主動防御。


漏洞驗證


暫無POC/EXP。


修復建議


建議采取以下措施進行主動防御:


1. 近期停止使用TeamViewer遠程管理軟件。

2. 在防火墻中禁止用于TeamViewer遠程通訊的5938端口。

3. 通過Web應用防火墻或其他設備禁止單位內主機回連teamviewer.com域名。

4. 關注Teamviewer官方公告,開啟自動更新https://www.teamviewer.cn/cn/。

上一篇 下一篇