W ostatnich latach TeamViewer stał się jednym z najbardziej popularnych narzędzi do zdalnego dostępu i administracji systemami, jednak jego powszechne zastosowanie przyciągnęło również uwagę cyberprzestępców. Niniejszy raport przedstawia wieloaspektową analizę zagrożeń związanych z użytkowaniem tego oprogramowania, uwzględniając podatności techniczne, incydenty związane z grupami APT, ataki ransomware oraz luki w mechanizmach uwierzytelniania. Dane z ostatnich pięciu lat wskazują na wyraźną korelację między aktualizacjami bezpieczeństwa TeamViewera a nowo odkrywanymi metodami ataków, co podkreśla złożoność wyzwań w obszarze cyberbezpieczeństwa.

Podatności techniczne w architekturze TeamViewera

Luki umożliwiające eskalację uprawnień (CVE-2025-0065, CVE-2024-7479, CVE-2024-7481)

Jednym z najpoważniejszych zagrożeń są luki umożliwiające lokalną eskalację uprawnień. CVE-2025-0065 (CVSS 7.8) dotyczyła nieprawidłowej neutralizacji ograniczników argumentów w komponencie TeamViewer_service.exe, umożliwiając atakującemu z dostępem lokalnym do systemu Windows wstrzykiwanie argumentów i przejęcie kontroli administracyjnej. Podobnie, CVE-2024-7479 i CVE-2024-7481 (CVSS 8.8) wynikały z błędów weryfikacji podpisów cyfrowych podczas instalacji sterowników VPN i drukarek, co pozwalało na instalację nieautoryzowanego oprogramowania.

Mechanizm exploitu polegał na wykorzystaniu uprawnień użytkownika z ograniczonymi prawami do modyfikacji ścieżek instalacyjnych i zastąpienia legalnych komponentów złośliwymi plikami DLL. Analiza kodu źródłowego wykazała, że wersje przed 15.58.4 nie sprawdzały integralności plików w procesie aktualizacji, co stanowiło kluczowy element podatności.

Błędy w zarządzaniu hasłami (CVE-2024-0819)

Luka CVE-2024-0819 (CVSS 7.8) ujawniła fundamentalny problem w projektowaniu mechanizmów uwierzytelniania. W systemach wieloużytkownikowych, użytkownicy bez uprawnień administracyjnych mogli zmieniać ustawienia haseł osobistych, co umożliwiało przejęcie sesji zdalnych innych kont. Problem dotyczył wszystkich wersji przed 15.51.5 i wymagał wprowadzenia nowych zasad kontroli dostępu opartych na zasadzie najmniejszych przywilejów.

Ataki APT a infrastruktura TeamViewera

Incydent APT29 z czerwca 2024 roku

W czerwcu 2024 roku grupa APT29 (związaną z rosyjskim wywiadem) wykorzystała skradzione poświadczenia pracownika do infiltracji korporacyjnej sieci TeamViewera. Pomimo że środowisko produkcyjne nie zostało naruszone, incydent ujawnił słabości w zarządzaniu dostępem wewnętrznym. Analiza dzienników wykazała, że atakujący wykorzystali techniki lateral movement

Autor
Adam M.
Pasjonat cyberbezpieczeństwa z 20-letnim stażem w branży IT. Swoją przygodę rozpoczynał od legendarnego mks_vir, a dziś odpowiada za ochronę systemów w renomowanej polskiej instytucji finansowej. Specjalizuje się w analizie zagrożeń i wdrażaniu polityk bezpieczeństwa. Ceni prywatność, dlatego o szczegółach mówi niewiele – woli, aby przemawiały za niego publikacje i wyniki pracy.