Een beveiligingslek in TeamViewer maakte het mogelijk voor malafide websites om de wachtwoordhash van Windowsgebruikers te stelen, die een aanvaller vervolgens zou kunnen kraken. Dat laat beveiligingsonderzoeker Jeffrey Hofmann van securitybedrijf Praetorian weten.

De software van TeamViewer maakt het mogelijk om systemen op afstand te beheren en wordt door allerlei organisaties en gebruikers wereldwijd gebruikt. Hofmann ontdekte dat het mogelijk was om via een verborgen iframe op een website de wachtwoordhash van Windowsgebruikers te stelen die TeamViewer hebben geïnstalleerd. Het iframe verwees naar een bestand dat ervoor zorgde dat op het systeem van de gebruiker TeamViewer werd gestart en verbinding met een smb-server van de aanvaller maakte.

Tijdens het opzetten van de verbinding naar de smb-server zou Windows zich via NTLM proberen te authenticeren. De NT LAN Manager, en diens opvolger NTLMv2, is een challenge-en-response protocol voor het authenticeren van gebruikers. Het wordt onder andere door Active Directory-omgevingen ondersteund. Zodra er verbinding met de smb-share van de aanvaller wordt gemaakt zal Windows de hash van het NTLM-wachtwoord naar de server van de aanvaller sturen. Die slaat de hash vervolgens op en kan die later proberen te kraken. Het gekraakte wachtwoord zou vervolgens voor verdere aanvallen zijn te gebruiken.

De kwetsbaarheid, aangeduid als CVE-2020-13699, werd op een schaal van 1 tot en met 10 wat betreft de impact met een 8,8 beoordeeld. TeamViewer heeft voor de verschillende Windowsversies van de software beveiligingsupdates uitgebracht.