TeamViewer: Neue Sicherheitslücke entdeckt, Passwort im Unicode-Format abgreifbar

[Update: Statements von TeamViewer eingefügt] Vielen von euch dürfte TeamViewer als Remote-Desktop-Lösung für zahlreiche Plattformen bekannt sein. Für jenes Programm wurde nun allerdings eine neue Sicherheitslücke bekanntgegeben, die einem vermeintlichen Hacker im Falle eines Angriffs einen vereinfachten Weg bietet, auf ein Passwort für eine Remote-Verbindung zuzugreifen und im „Idealfall“ sensible Daten abzufangen.

CVE-2018-14333, so der Name der Sicherheitslücke, funktioniert eben auch dann, wenn eine TeamViewer-Sitzung zwar beendet, das Programm aber noch nicht ordnungsgemäß heruntergefahren wurde. Auf GitHub wird etwas genauer erklärt, wie sich ein Angriff durch einen Hacker im Ernstfall abspielen könnte. Das Hauptproblem besteht darin, dass TeamViewer das verwendete Passwort in einem gewissen Adressbereich des Speichers im Unicode-Format ablegt, um auf Wunsch jenes schnell wieder automatisch in das für das Passwort vorgesehene Feld einzutragen.

Danke Sven!

Kurz nach Veröffentlichung der Meldung hier im Blog habe ich auch schon eine Mail seitens der TeamViewer-PR erhalten, die ich an dieser Stelle einfach mal angehängt haben möchte:

Datensicherheit hat oberste Prioriät für TeamViewer. Entsprechend ernst nehmen wir die als CVE-2018-14333 zur Verfügung gestellten Informationen und prüfen den Sachverhalt mit der gebotenen Sorgfalt. Das beschriebene Szenario nimmt Bezug auf ein Usability-Feature, für dessen Missbrauch Angreifer bereits vollständige Kontrolle über den Rechner erlangt haben müssen, auf dem das Passwort zwischengespeichert war. Wir werden die Funktionalität evaluieren und gegebenenfalls geeignete Maßnahmen ergreifen. Derzeit stufen wir die Situation als nicht kritisch ein.

Das zugrundeliegende Feature steht allen Nutzern zur Verfügung und kann mittels der Checkbox „Kennwörter für erneute Verbindungen zwischenspeichern“ im Menü unter „Extras“ -> „Optionen“ -> „Erweitert“ -> „Erweiterte Einstellungen für Verbindungen zu anderen Computern“ deaktiviert werden.

[Update, 20.07.] Und siehe da, TeamViewer testet bereits Änderungen am Feature, die in Kürze bei allen Nutzern ankommen sollen:

Nach sorgfältiger Überprüfung der als CVE-2018-143333 zur Verfügung gestellten Informationen, haben wir beschlossen schnell zu handeln um das Feature zu verbessern. Die technische Weiterentwicklung besteht darin, das zwischengespeicherte Passwort nach 5 Minuten automatisch aus dem Speicher zu löschen. Die Änderungen an der Funktion werden bereits mit Usern getestet und sind voraussichtlich ab nächster Woche verfügbar. Abgesehen von der Weiterentwicklung haben die Nutzer nach wie vor die Möglichkeit, die Funktion anhand der gestern veröffentlichten Anweisungen zu deaktivieren – mittels der Checkbox „Kennwörter für erneute Verbindungen zwischenspeichern“ im Menü unter „Extras“ -> „Optionen“ -> „Erweitert“ -> „Erweiterte Einstellungen für Verbindungen zu anderen Computern“.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Benjamin Mamerow

Nordlicht, Ehemann und Vater, hauptberuflich mit der Marine verbündet. Außerdem zu finden auf Twitter und Google+. PayPal-Kaffeespende an den Autor. Mail: benjamin@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

12 Kommentare

  1. Wer wirklich Wert auf Sicherheit legt, benutzt Teamviewer doch schon lange nicht mehr. Teamviewer ist bei uns schon lange überall rausgeflogen, nachdem es von einer NSA-nahen Firma für mehr als eine Milliarde (!) US-Dollar gekauft wurde.

    Permira und TeamViewer haben den Vorgang möglichst lang geheim gehalten und wollten sich auch nach der Übernahme auf Anfrage zuerst nicht dazu äußern.

    Einen Monat später kam dann die Meldung, dass ehemalige TeamViewer Mitarbeiter ein neues Unternehmen namens AnyDesk als Alternative zu TeamViewer gegründet haben. Das läßt natürlich noch mehr ein gewisses “Geschmäckle” aufkommen.

    • Mr. Magoo says:

      danke für Dein Vorwort. Aber das macht man doch unter Freunden nicht! Ich nutze seit dem Verkauf kein Teamviewer mehr, bin zeitnah auch auf Andesk gestossen. Anydesk steht Teamviewer in nichts nach. Ich bin aber immer wieder erstaunt, wieviele grosse Firmen Teamviewer noch nutzen.

  2. Michel Ehlert says:

    Nutze eigentlich nur AnyDesk, aber auf dem smartphone meiner Mutter geht leider nur Teamviewer.. Aber da ich das nur einmal im Jahr oder so brauche..

  3. Die aluhut fraktion ist also auch schon hier 😀
    ich nutze es immernoch auf all meinen rechnern und servern 😉 hab da jetzt auch nicht wirklich ein schlechtes gewissen

  4. Klaus Mauerian says:

    Leider wurde vor kurzem auch AnyDesk von einer Heuschrecke übernommen… Das sagt alles über die gesamte Industrie. Unsere Daten sind eben das neue Gold. Ich nutze jetzt TightVNC

    • Michael Schindler says:

      Hast Du da bitte mal eine Quelle zu?

      • ich denke mal er meint das –>
        In einer Series-A-Finanzierungsrunde hat sich das Startup AnyDesk Investitionen von insgesamt 6,5 Millionen Euro gesichert. Angeführt wird die Runde von EQT-Ventures, zudem haben Business Angels investiert. AnyDesk bietet eine Software, mit der User von jedem beliebigen Computer aus auf ihren eigenen Desktop zugreifen können. Nach Angaben des Stuttgarter Unternehmens ist lediglich der Download einer 1,9 MB-großen Datei nötig, um am Remote-Desktop arbeiten zu können. Das Programm wurde bereits über 50 Millionen Mal heruntergeladen, wie AnyDesk mitteilte. Mit dem Kapital will AnyDesk die Produktinnovation weiter vorantreiben und seine technischen und kommerziellen Teams ausbauen. (https://www.gruenderszene.de/news/65-millionen-euro-fuer-remote-desktop-app-die-aktuellen-nachrichten)

    • sunworker says:

      >>Leider wurde vor kurzem auch AnyDesk von einer Heuschrecke übernommen…
      Das ist Unsinn, siehe anderen Kommentar von @blAde.

    • sunworker says:

      Klar TightVNC ist viel sicherer, da von Constantin Kaplinsky aus Tomsk in Russland.

    • sunworker says:

      @Klaus Mauerian

      >>Andydesk ist von einer Heuschrecke übernommen:
      = Kompletter Unsinn

      >>Unsere Daten sind eben das neue Gold. Ich nutze jetzt TightVNC:
      = TightVNC hat KEINE Verschlüsselung, das schreiben die selbst auf ihrer Webseite.

      ## How secure is TightVNC?
      Although TightVNC encrypts VNC passwords sent over the net, the rest of the traffic is sent as is, unencrypted … using TightVNC over the Internet can be a security risk.
      https://www.tightvnc.com/faq.php

      Vielleicht erstmal nachdenken und informieren??

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.