TeamViewer: Dienst angeblich von Hackern übernommen, einige Betroffene, Anbieter dementiert
von caschy | 25 Kommentare
(UPDATE: HIER BEFINDET SICH EIN STATEMENT) Kuriose Nachrichten rund um das beliebte Fernwartungstool TeamViewer. Der Dienst litt schon den ganzen Mittwoch unter Störungen, so war die Webseite nicht erreichbar und auch das Warten anderer Rechner aus der Ferne über die TeamViewer-Apps war nicht möglich. TeamViewer gab Netzwerkprobleme als Grund des Ganzen an, teilte aber später mit, dass alles so funktioniere wie gewünscht – lediglich in einigen Regionen könne es noch etwas dauern. Bei Reddit tauchen mittlerweile einige Nutzern auf, die behaupten, ihre Rechner seien über TeamViewer kompromittiert worden.
Will heißen: Sie hatten eine TeamViewer-Instanz im Hintergrund laufen und wurden über eine ID und ein Passwort von anderen ferngewartet. Das Interessante ist: viele Nutzer beschreiben das sehr, sehr glaubhaft und liefern teilweise sogar Screenshots mit – denn die Angreifer haben den Vollzugriff auf die Rechner genutzt, um Überweisungen vorzunehmen und ähnliches. TeamViewer indes behauptet, dass man keinen Einbruch feststellen konnte.
Schräge Geschichte, gerade weil sich so viele Menschen via Reddit und Twitter zum Thema äußern. Momentan heißt es da wohl eher: Holzauge sei wachsam und ziehe mal kurzzeitig bis zur vollständigen Aufklärung dem TeamViewer’schen Stecker. Bereits in der letzten Woche äußerte sich TeamViewer zu Bedenken, die jetzt aktuell durch die angeblichen Fremdzugriffe wieder hochkochen.
Verschwörungstheorie: Was wäre, wenn TeamViewer einen Hack mitbekommen hat – und aus diesen Gründen die DNS-Server geändert hat, um den Dienst und damit die Opfer nicht mehr erreichbar zu machen?
Auf der anderen Seite muss man festhalten, dass derzeit auch eine Backdoor-Software die Runde macht, die auf Windows-Systeme abzielt, TeamViewer im Hintergrund installiert und so eine Remote-Verbindung aufbaut:
[color-box color=“red“ rounded=“1″]A Trojan for Microsoft Windows that is spread by Trojan.MulDrop6.39120. The Trojan’s main payload is incorporated into the avicap32.dll library. Trojan.MulDrop6.39120 runs TeamViewer that automatically loads the library to the computer’s memory. All lines, imports, and functions of TeamViewer’s process are actively implemented by this malicious library. The most critical parts of the Trojan’s code are encrypted with base64 and RC4.
When running, the Trojan removes the icon of TeamViewer from the Windows notification area and disables error reporting. BackDoor.TeamViewer.49 also intercepts calls for some system functions to hide the TeamViewer window.
[/color-box]
Wird geladen ...
Ist nem Kumpel von mir passiert, ein Typ aus China hat erstmal PayPal in seinem Browser gecheckt und nicht mal den Verlauf gelöscht. Ist aber schon paar Wochen her.
überweisungen mit tan usw ? nur über rechnerzugriff ? hmmm. bin gespannt auf die klärung der nächsten tage
und paypal zugriff offen ohne auth über browser ? wer ist da wohl schuld oder fahrlässig ? 🙂
„(…) die DNS-Server geändert hat (…)“ ist fachlich gesehen keine korrekte Aussage, vermutlich meintest die die DNS-*Einträge*. Aber auch dies wäre merkwürdig, wenn man den Dienst unerreichbar für Angreifer => Opfer machen möchte, wäre es viel logischer einfach in der Firewall auf den TeamViewer Servern alles zu blocken oder einfach die Webapplikation stoppen bis man die Sicherheitslücke behoben hat.
Ich habe in den letzten 2 Wochen 2 Anfragen via Teamviewer bekommen, die mich bei Teamviewer „eingeladen“ haben. Hätte ich hier blindlings zugestimmt, hätten diese Typen meinen Rechner evtl. auch übernehmen können. Von daher gehe ich auch erst mal von Social Engineering aus..
Teamviewer hat bei mir schon vor einigen Monaten …….
Grundlos behauptete der nach einem Update ich würde ihn Kommerziell nutzen und verweigerte dann ständig den Dienst.
Der Support von TV hatte mir nicht helfen können. 🙁
Leider wird der trotzdem viel von anderen benutzt so muss ich ihn nun immer in einer Virtuellen Maschine ausführen.
Aber ich bin nun echt auf der Suche nach einer Alternative. Jemand zufällig gute zuverlässige Ideen?
@wpressy: AnyDesk
Wenn ich mich nicht irre, sind das ehemalige TV Entwickler
Ich bekam vor ein paar Tagen eine Freundschaftsanfrage im Teamviewer. Da ich ihn aktuell eh nicht installiert hatte und ich neugierig war hatte ich erst einmal angenommen. Im Verlauf sah ich dann dass ich mich irgendwie per XP im TV angemeldet hätte. Da ich aber kein XP nutze fand ich das etwas kurios. Ich löschte den Kontakt wieder und änderte erst einmal vorsichtshalber mein Passwort.
Das sind hier 2 komplett verschiedene Probleme, dass mit den gehackten Accounts hat mehr mit Social Engineering und gehackten Acounts bei Mail Provider oder andere Dienste wie der Linkedin Hack zu tun. Zudem verwenden sehr viele User gleiche Passwörter bei unterschiedlichen Dinge oder eben sehr einfache, was es kriminelle dann leichter ausnutzen können.
Der Ausfall heute sah mir sehr stark nach einer DDoS Attacke aus, vermutlich auf den DNS, da ich bei Tests zu allen öffentlich angegebenen Name Server 99% Packet Loss feststellen konnte.
Nachdem scheinbar die DNS Server die IPs gewechselt haben, waren die diese wieder Erreichbar und hatten auch kein Packet Loss mehr.
Alle andere Dienste waren alle nicht per DNS, aber direkt per IP erreichbar und hatten keinen Packet Loss. Von dem her scheint mit dies mit hoher Wahrscheinlichkeit der Grund für den Ausfall zu sein!
„denn die Angreifer haben den Vollzugriff auf die Rechner genutzt, um Überweisungen vorzunehmen“
Wie soll das gehen?
Ich gehe auch davon aus das die Leute im Prinzip selber schuld hatten, den auch bei mir wurde in den letzten Wochen laufend Anfragen gestellt. Die ich natürlich abgelehnt hatte. Da die aber erstmal wissen müssen wer hier sowas überhaupt installiert hat usw. gehe ich stark davon aus das da in der Tat was gehakt wurde.
Das ist ganz einfach, man kann bei TeamViewer wie auch bei vielen anderen Dienste einen Account anlegen. Diesem Account können Kontakte und PCs hinzufügt werden, bei PCs sogar Passwörter eingetragen werden. Bedeutet wenn der Angreifer Email + Passwort des Accounts hat und sich dann im TeamViewer Client einloggt, kann er sich einfach mit einem Doppelklick bei allen hinterlegten PCs einloggen, bei denen auch das Passwort fest eingetragen ist. Private PCs sind teilweise nicht mal mit einem Windows Passwort versehen oder wiederum mit einfachen oder dem gleichen….
Kontakte kann man auch einfach eine Aufforderung für die Remote Steuerung zuschicken und es erscheint eine Meldung, ob man die Steuerung zulassen möchte. Nicht jeder liest sowas genau oder weiß sofort was er tut, sondern klickt einfach und wundert sich dann, weshalb sich der Mauszeiger bewegt…
Also gar nicht so schwierig, aber prinzipiell ist das kein Hack, sondern einfach eine Funktion des Programms.
Backdoor-Trojaner missbraucht TeamViewer:
http://www.zdnet.de/88270767/backdoor-trojaner-fuer-fernwartungssoftware-teamviewer-entdeckt/
Das mit dem Backdoor-Trojaner kann auch gut sein!!! So einen Fall hatten wir in der Firma vor 2 Jahen mit LogMeIn auch. Meistens ist dann Java oder Flash das eigentliche Problem.
Wir benutzen TeamViewer beruflich in der ganzen Firma mit unseren Kunden und ich hatte heute keinerlei Probleme und auch nichts gehört, dass Kollegen Probleme hatten.
Wenn Leute irgendwelche fremden Anfragen einfach annehmen, etwas installieren oder ausführen, dessen Herkunft sie nicht kennen, dann sind sie selbst schuld.
Warum werde ich über den Feed aus feedly auf die AMP Seite geleitet?!
Habe gerade ein Fragezeichen über dem Kopf. Wie soll das mit den Überweisungen gehen, ohne PIN, TAN, mTAN oder was auch immer.
Dies ist uns vor wenigen Tagen passiert. Haben einen Teamviewer Account auf dem mehrere familieneigene PCs gebunden sind. Plötzlich hatte sich ein Fremder auf seinem Notebook eingeloggt und sofort versucht, im Browser Paypal und eBay zu öffnen. Zum Glück hatte er es mitbekommen und konnte alles schnell genug unterbinden.
Haben jetzt sowohl bei Teamviewer als auch Paypal & Co. die 2-Faktor-Authentifizierung drin und alle Passwörter geändert, zudem muss nun beim Login auf die einzelnen Rechner nochmals ein jeweils anderes Kennwort eingeben werden.
Nebenbei kann sowas schnell böse ausgehen: ich kenne nicht wenige, die haben z.B. KeePass aktiv im Hintergrund laufen damit Zugangskennwörter schnell an den Browser ausgeliefert werden können (dazu muss es aktiv entsperrt laufen). Wenn dann über Teamviewer jemand fremdes Zugriff auf den Rechner bekommt, steht schnell Amazon, eBay, Paypal & Co. für diesen jemand offen.
Wie oben schon von einigen berichtet habe ich die letzten Wochen auch dubiose Kontaktanfragen über Teamviewer bekommen.
Teamviewer selber meldet sich mittlerweile auch zu Wort:
https://www.teamviewer.com/en/company/press/statement-on-service-outage/