TeamViewer: Neue Sicherheitslücke entdeckt, Passwort im Unicode-Format abgreifbar

[Update: Statements von TeamViewer eingefügt] Vielen von euch dürfte TeamViewer als Remote-Desktop-Lösung für zahlreiche Plattformen bekannt sein. Für jenes Programm wurde nun allerdings eine neue Sicherheitslücke bekanntgegeben, die einem vermeintlichen Hacker im Falle eines Angriffs einen vereinfachten Weg bietet, auf ein Passwort für eine Remote-Verbindung zuzugreifen und im „Idealfall“ sensible Daten abzufangen.

CVE-2018-14333, so der Name der Sicherheitslücke, funktioniert eben auch dann, wenn eine TeamViewer-Sitzung zwar beendet, das Programm aber noch nicht ordnungsgemäß heruntergefahren wurde. Auf GitHub wird etwas genauer erklärt, wie sich ein Angriff durch einen Hacker im Ernstfall abspielen könnte. Das Hauptproblem besteht darin, dass TeamViewer das verwendete Passwort in einem gewissen Adressbereich des Speichers im Unicode-Format ablegt, um auf Wunsch jenes schnell wieder automatisch in das für das Passwort vorgesehene Feld einzutragen.

Danke Sven!

Kurz nach Veröffentlichung der Meldung hier im Blog habe ich auch schon eine Mail seitens der TeamViewer-PR erhalten, die ich an dieser Stelle einfach mal angehängt haben möchte:

Datensicherheit hat oberste Prioriät für TeamViewer. Entsprechend ernst nehmen wir die als CVE-2018-14333 zur Verfügung gestellten Informationen und prüfen den Sachverhalt mit der gebotenen Sorgfalt. Das beschriebene Szenario nimmt Bezug auf ein Usability-Feature, für dessen Missbrauch Angreifer bereits vollständige Kontrolle über den Rechner erlangt haben müssen, auf dem das Passwort zwischengespeichert war. Wir werden die Funktionalität evaluieren und gegebenenfalls geeignete Maßnahmen ergreifen. Derzeit stufen wir die Situation als nicht kritisch ein.

Das zugrundeliegende Feature steht allen Nutzern zur Verfügung und kann mittels der Checkbox „Kennwörter für erneute Verbindungen zwischenspeichern“ im Menü unter „Extras“ -> „Optionen“ -> „Erweitert“ -> „Erweiterte Einstellungen für Verbindungen zu anderen Computern“ deaktiviert werden.

[Update, 20.07.] Und siehe da, TeamViewer testet bereits Änderungen am Feature, die in Kürze bei allen Nutzern ankommen sollen:

Nach sorgfältiger Überprüfung der als CVE-2018-143333 zur Verfügung gestellten Informationen, haben wir beschlossen schnell zu handeln um das Feature zu verbessern. Die technische Weiterentwicklung besteht darin, das zwischengespeicherte Passwort nach 5 Minuten automatisch aus dem Speicher zu löschen. Die Änderungen an der Funktion werden bereits mit Usern getestet und sind voraussichtlich ab nächster Woche verfügbar. Abgesehen von der Weiterentwicklung haben die Nutzer nach wie vor die Möglichkeit, die Funktion anhand der gestern veröffentlichten Anweisungen zu deaktivieren – mittels der Checkbox „Kennwörter für erneute Verbindungen zwischenspeichern“ im Menü unter „Extras“ -> „Optionen“ -> „Erweitert“ -> „Erweiterte Einstellungen für Verbindungen zu anderen Computern“.