TeamViewer漏洞CVE-2024-7479和CVE-2024-7481

TeamViewer 是一款全球知名的，用于实现远程支持、远程访问、远程管理、家庭办公及在线协作和会议功能的应用程序软件。

一、基本情况

TeamViewer 能在任何防火墙和NAT代理后台用于远程控制，支持Windows、Mac、Linux、Chrome OS、iOS、Android多平台。

提供一整套桌面共享和文件传输的简单且快速的解决方案，每日有多达4500万+设备同时在线，而且累积连接数已经突破20亿+。

TeamViewer2024年09月25日发布资产安全公告，指出Windows版程序存在两项高风险漏洞CVE-2024-7479、CVE-2024-7481。

两项高危漏洞允许攻击者在实际接触电脑情况下提升本机权限，影响TeamViewer主机端（Host）与客户端（Full Client）程序。

二、漏洞分析

Peter Gabaldon 发现 TeamViewer 存在两个漏洞CVE-2024-7479、CVE-2024-7481，允许攻击者升级权限并控制关键系统功能。

TeamViewer 在资安公告中明确漏洞的存在，并向 Peter Gabaldon 与趋势科技零日计划合作进行的发现和负责任披露表示感谢。

同时官方也已发布安全更新，用以修复这两项会影响TeamViewer 远程客户端 15.58.3 及更早版本的 Windows 版本的安全漏洞。

此版本的 TeamViewer 默认在端口 5939/tcp 上运行，并且很容易就会受到操纵，从而允许攻击者升级权限并控制关键系统功能。

CVE-2024-7479、CVE-2024-7481 两个安全漏洞同属高风险漏洞，它们的CVSS评分均为8.8，因此建议受影响的用户及时更新。

漏洞发生的原因是Windows的TeamViewer Remote完整客户端和主机的TeamViewer_service.exe 组件中的加密签名验证不正确。

由于组件加密签章验证不正确导致处理不当，允许 Windows 系统中具有本地非特权访问权限攻击者提升其权限并安装驱动程序。

当然，攻击者想要利用这两项漏洞的前提，是必须先设法进到本机电脑、能够存取Windows作业系统，才能以此方式提升权限。

因此，TeamViewer官方特别强调这两项漏洞无法远端利用，攻击者首先要做的，仍然是需要通过 TeamViewer 的安全验证机制。

攻击者首先需要连接目标设备，这个环节一般不存在漏洞，接着下来安装特定程序，可以是驱动程序或者黑客自己开发的工具。

攻击者需要将这些程序或工具软件下载到目标设备中，这时就可以通过一般使用者的权限利用上述两项漏洞提升至管理员权限。

TeamViewer 官方已经发布适用于 Windows 的 TeamViewer 版本 15.58.4 更新，相关漏洞的 POC 代码后续也发布在GitHub上。

三、漏洞影响

TeamViewer <= 15.58.3

四、修复建议

相关已在 TeamViewer 版本15.58.4 更新，建议更新到最新可用版本。

五、参考链接

https://www.teamviewer.cn/cn/resources/trust-center/security-bulletins/tv-2024-1006/