W ostatnich latach TeamViewer stał się jednym z najbardziej popularnych narzędzi do zdalnego dostępu i administracji systemami, jednak jego powszechne zastosowanie przyciągnęło również uwagę cyberprzestępców. Niniejszy raport przedstawia wieloaspektową analizę zagrożeń związanych z użytkowaniem tego oprogramowania, uwzględniając podatności techniczne, incydenty związane z grupami APT, ataki ransomware oraz luki w mechanizmach uwierzytelniania. Dane z ostatnich pięciu lat wskazują na wyraźną korelację między aktualizacjami bezpieczeństwa TeamViewera a nowo odkrywanymi metodami ataków, co podkreśla złożoność wyzwań w obszarze cyberbezpieczeństwa.
Podatności techniczne w architekturze TeamViewera
Luki umożliwiające eskalację uprawnień (CVE-2025-0065, CVE-2024-7479, CVE-2024-7481)
Jednym z najpoważniejszych zagrożeń są luki umożliwiające lokalną eskalację uprawnień. CVE-2025-0065 (CVSS 7.8) dotyczyła nieprawidłowej neutralizacji ograniczników argumentów w komponencie TeamViewer_service.exe, umożliwiając atakującemu z dostępem lokalnym do systemu Windows wstrzykiwanie argumentów i przejęcie kontroli administracyjnej. Podobnie, CVE-2024-7479 i CVE-2024-7481 (CVSS 8.8) wynikały z błędów weryfikacji podpisów cyfrowych podczas instalacji sterowników VPN i drukarek, co pozwalało na instalację nieautoryzowanego oprogramowania.
Mechanizm exploitu polegał na wykorzystaniu uprawnień użytkownika z ograniczonymi prawami do modyfikacji ścieżek instalacyjnych i zastąpienia legalnych komponentów złośliwymi plikami DLL. Analiza kodu źródłowego wykazała, że wersje przed 15.58.4 nie sprawdzały integralności plików w procesie aktualizacji, co stanowiło kluczowy element podatności.
Błędy w zarządzaniu hasłami (CVE-2024-0819)
Luka CVE-2024-0819 (CVSS 7.8) ujawniła fundamentalny problem w projektowaniu mechanizmów uwierzytelniania. W systemach wieloużytkownikowych, użytkownicy bez uprawnień administracyjnych mogli zmieniać ustawienia haseł osobistych, co umożliwiało przejęcie sesji zdalnych innych kont. Problem dotyczył wszystkich wersji przed 15.51.5 i wymagał wprowadzenia nowych zasad kontroli dostępu opartych na zasadzie najmniejszych przywilejów.
Ataki APT a infrastruktura TeamViewera
Incydent APT29 z czerwca 2024 roku
W czerwcu 2024 roku grupa APT29 (związaną z rosyjskim wywiadem) wykorzystała skradzione poświadczenia pracownika do infiltracji korporacyjnej sieci TeamViewera. Pomimo że środowisko produkcyjne nie zostało naruszone, incydent ujawnił słabości w zarządzaniu dostępem wewnętrznym. Analiza dzienników wykazała, że atakujący wykorzystali techniki lateral movement
