Teamviewer 曝重大安全漏洞,攻击者可任意控制用户或属乌龙事件!(内附安全处理建议)

近日,网上流传出疑似「深圳市网络与信息安全信息通报中心」发布的紧急通告。报告中称,知名远程控制软件 TeamViewer 被境外黑客组织 APT41 攻击,并成功拿下管理后台,使得黑客组织可以访问并控制任何安装了 TeamViewer 的客户端。

目前,Teamviewer 官方尚未证实该漏洞的存在。经过大量信息查询后,此次安全事件或许有可能只是一次乌龙事件。下面我们来看看整个事件的经过:

1

事件始末

2019 年 10 月 11 日,火眼举办的 FireEyeSummit 大会上,几张演讲的 PPT 被公开到网上,其中一张提及到一款非常流行的远程控制软件 TeamViewer 曾经疑似被黑客组织入侵,并称其可以访问安装了 TeamViewer 的任何系统。

由于 TeamViewer 的易用性、灵活性及强大的远控功能,其使用面非常大,此事件在国内安全圈中引起了极大关注。

奇安信威胁情报中心红雨滴团队对 TeamViewer 相关的安全事件进行了收集分析,FireEye 所说的事件应该发生在几年前,新版本 TeamViewer 仍被受控的可能性较小,原因有以下两点。

  1. 根据 FireEye 的报告,其中提到了他们认为的 TeamViewer 被入侵的时间节点为 2016 年。

新闻显示黑客于 2016 年针对 TeamViewer 进行了攻击,当时该公司的安全专家发现了此次攻击并迅速阻止。TeamViewer 透露,调查了入侵的企图,但并没有发现任何暴露客户敏感数据的证据。

TeamViewer 公司并未向公众披露此次安全漏洞:

在 2016 年秋季,TeamViewer 成为网络攻击的目标。我们的系统及时发现了可疑活动,以防止造成重大损失。由内部和外部网络安全研究人员组成的专家团队与负责机构紧密合作,成功抵御了该攻击。 出于安全考虑,TeamViewer 随后对其安全体系结构和 IT 基础架构进行了全面审核,并通过适当措施进一步加强了它。

  1. 从 FireEye 之前的报告来看,尽管他们没有第一手证据证明黑客组织入侵 TeamViewer,但他们观察到黑客组织使用了 TeamViewer 账号密码作为多个目标的切入点。

同样,FireEye 也在报告中提及到唯一一次得知 Teamviewer 被入侵是发生在 2016 年。

而对于窃取 TeamViewer 账号密码的方式有很多,比如一些黑产组织专门利用木马进行 TeamViewer 账号密码的窃取。因此对于本次事件的定性,我们不应该认为是入侵了 TeamViewer,而是黑客组织获取了目标 Teamviewer 账号和密码。

2

事件结论

在 2016 年发生过黑客组织对于 TeamViewer 软件厂商的攻击,但已经被厂商发现和阻止,但由于厂商未披露太多处理细节,所以具体的损害情况未知。

但是,近期并没有发现 TeamViewer 被攻击并植入恶意代码事件,所以不必产生不必要的恐慌。至于,TeamViewer 这个可以直接穿透防火墙的远程控制软件的使用是否符合公司的安全策略还请慎重选择。

最后,如果你实在不放心,请及时关注 Teamviewer 官方公告或是采取下面的一些安全措施建议。

官网地址:https://www.teamviewer.cn/cn/

2.1

安全建议

  1. 近期停止使用或卸载 TeamViewer 远程管理软件。
  2. 在防火墙中禁止用于 TeamViewer 远程通讯的 5938 端口。
  3. 通过 Web 应用防火墙或其它设备禁止单位内主机回连 Teamviewer 域名。
  4. 更新 TeamViewer 为最新版本。
  5. 启用 TeamViewer 账户的两步验证,以提高安全性。

3

参考文档

  1. https://www.google.com
  2. https://www.anquanke.com/post/id/188469
  3. https://tech.sina.com.cn/i/2019-10-12/doc-iicezzrr1688519.shtml

本文分享自微信公众号 - 运维之美(Hi-Linux)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-10-13

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

编辑于

我来说两句

0 条评论
登录 后参与评论

扫码关注云+社区

领取腾讯云代金券