TeamViewer官方發布消息說最近修復了一個漏洞，該漏洞可能使攻擊者悄悄地建立與您計算機的連接並進一步利用該系統。漏洞編號: CVE-2020-13699，該漏洞影響TeamViewer版本：8,9,10,11,12,13,14,15。

國家信息安全漏洞庫地址:

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202007-1701

風險等級: 8.8 高危

典型的本地權限提升漏洞

攻擊者只需要構造一個特定的連接隱藏在惡意網頁裡.安裝了Teamviewer的電腦瀏覽到該網頁即可觸發漏洞.

上圖為CVE-2020-13699 PoC演示，在網頁裡使用一段不可見的iframe代碼會啟動TeamViewer Windows桌面客戶端並迫使其打開遠程SMB共享，也就是說攻擊者無需知道TeamViewer的密碼，該漏洞將自動把受害機的系統會話權限自動通過身份驗證並獲得權限.

Windows在打開SMB共享時將執行NTLM身份驗證，並且可以轉發該請求（使用諸如響應程序之類的工具）以執行代碼（或捕獲該請求以進行哈希破解）。

漏洞覆蓋版本:

teamviewer10

teamviewer8

teamviewerapi

tvchat1

tvcontrol1

tvfiletransfer1

tvjoinv8

tvpresent1

tvsendfile1

tvsqcustomer1

tvsqsupport1

tvvideocall1

tvvpn1 。”

Windows的TeamViewer用戶應考慮升級到新的程序版本：

8.0.258861

9.0.28860

10.0.258873

11.0.258870

12.0.258869

13.2.36220

14.2.56676

14.7.48350

15.8.3

新版在這裡下載：

https://www.teamviewer.cn/cn/download/windows/

所有15之前老版本都可以這裡下載：

https://www.teamviewer.cn/cn/download/previous-versions/