[English]Kurze Warnung an Leser, die die Fernwartungssoftware TeamViewer mit einem "persönlichen Passwort" bei sich einsetzen. Der Client für Windows sollte dringend auf die Version 15.51.5 aktualisiert werden. Der Hersteller hat einen Sicherheitshinweis veröffentlicht, aus dem hervorgeht, dass ältere Software-Versionen nur einen unvollständigen Schutz der persönlichen Kennworteinstellungen bieten.
Anzeige
TeamViewer ist eine proprietäre Software für den Fernzugriff auf sowie die Fernsteuerung und die Fernwartung von Computern und anderen Endgeräten, die 2005 veröffentlicht wurde. Ich bin über nachfolgenden Tweet auf die Information gestoßen, dass TeamViewer die Sicherheitswarnung TV-2024-1001 (Incomplete protection of personal password settings) veröffentlicht hat.
Der Anbieter TeamViewer warnt dabei vor der Schwachstelle CVE-2024-0819 in seinem Fernwartungs-Client für Windows, Linux und macOS. Durch eine unsachgemäße Initialisierung der Standardeinstellungen im TeamViewer Remote Client vor Version 15.51.5 für Windows, Linux und macOS kann ein Benutzer mit geringen Privilegien seine Rechte erhöhen. Dies ist möglich, indem er die Einstellung für das persönliche Passwort ändert und eine Fernverbindung zu einem angemeldeten Admin-Konto herstellt, heißt es auf der NIST-Seite.
Der Anbieter ist da etwas spezifischer und schreibt, dass im TeamViewer-Client vor der Version 15.51.5 eine Schwachstelle gefunden wurde, die es einem unprivilegierten Benutzer auf einem Mehrbenutzersystem ermöglichen könnte, ein persönliches Passwort zu setzen.
Anzeige
Im Teamviewer-Client vor Version 15.51.5 erfordert der Zugriff auf die Einstellung des persönlichen Passworts keine Administratorrechte. Ein niedrig privilegierter Benutzer auf einem Mehrbenutzersystem, der Zugriff auf den Client hat, kann ein persönliches Passwort setzen. Dadurch kann ein unprivilegierter Benutzer möglicherweise eine Fernverbindung zu anderen aktuell angemeldeten Benutzern auf demselben System aufbauen.
Die Schwachstelle hat einen CVSS 3.0-Wert von 7.8 (High) und betrifft alle Client-Versionen vor Version 15.51.5, die ein persönliches Passwort verwenden. Das Problem wurde mit Version 15.51.5 behoben.
- Teamviewer Remote Full Client < 15.51.5 Update available
- Teamviewer Remote Host < 15.51.5 Update available
TeamViewer-Clients mit aktivierter Einstellung "Änderungen erfordern administrative Rechte auf diesem Computer" oder zusätzlichen Sicherheitsfunktionen,wie z.B.:
- Optionen Passwort
- Bedingter Zugriff
- BYOC
- Blockieren & Zulassen Liste
- Zugriffskontrolle
- TFA für Verbindungen
- Einmal-Passwort
die aktiv und richtig konfiguriert sind, sind nicht betroffen. TeamViewer empfiehlt die Verwendung von Easy Access für den unbeaufsichtigten Zugriff. In Kombination mit der Zwei-Faktor-Authentifizierung deckt dieser Schutz den Zugriff auf das TeamViewer-Konto und jeden Rechner ab, der über TeamViewer unterstützt wird.
Anzeige
Es wäre mal schön, wenn TV die 2FA Auth über TOTP Token implementieren würde. Als Systemhaus mit einigen Technikern ist 2FA über deren App leider nicht praktikabel. Insofern tritt diese Meldung doppelt hart.
Hallo Kai,
kann ich nicht nachvollziehen, wir nutzen für die Teamviewer 2FA mit entweder der Authenticator APP bzw. der TOTP Funktion im Keepass. Sehe da keine Probleme.
Das sollte aber nicht der Sinn bei einer 2FA sein, beide Faktoren hinter EINEM Passwort zu sichern.
Hey Moritz,
das würde mich interessieren, wie ihr das umgesetzt habt. Für unsere TeamViewer-Account nutzen wir ebenfalls TOTP Funktion im KeePass. Für Connections zu einzelnen Rechner geht, so weit ich weiß, nur der 2FA von TeamViewer selbst, also so wie Kai sagt.
Vielleicht möchtest Du Dein Wissen mit uns teilen ;-)
Als Systemhaus sollte man überhaupt keine Fernwartungssoftware wie TeamViewer und co. einsetzen.
Hallo,
aus der Meldung heraus, und da seit dem 30.04.2021 keine Updates mehr veröffentlicht wurden, würde ich jetzt mal stark implizieren das TeamViewer 14 davon auch betroffen ist (alles vor Version 15.51.5)?
Man kann im Teamviewer einstellen, dass es automatisch geupdatet wird.
Aber ja, TW 14 natürlich auch.
Und wenn ich dran denke, dass ich auf Domänencontrollern schon TeamViewer-Installationen gesehen habe, wird mir schlecht. Installiert von großen IT-Systemhäusern zwecks Fernwartung. Und man bedenke, wie viele Softwareprodukte im Enterprise-Bereich einen TeamViewer-Client ungefragt still und heimlich mit installieren. Da kann man nur hoffen, dass die sich irgendwie automatisch Updaten, ansonsten kann man sich auf den Kopf stellen, diese Mistsoftware überall wieder rauszukratzen. Solche Vorfälle, wie auch der von Anydesk, zeigen einfach, dass solche Fernwartungssoftware gravierende Sicherheitsrisiken darstellen und in Enterprise-Infrastrukturen rein gar nichts zu suchen haben.