TeamViewer reagiert auf Passwort-Leck

Das Fernwartungsprogramm TeamViewer soll zwischengespeicherte Passwörter künftig nach fünf Minuten vergessen, wie das Unternehmen gegenüber heise Security erklärte. Damit reagiert das Hersteller auf das vergangene Woche bekannt gewordene Datenleck (CVE-2018-143333), durch das Angreifer das Verbindungspasswort aus dem Arbeitsspeicher auslesen können, bis der TeamViewer-Client beendet wird.

Sicherheitsforschern fiel auf, dass man beim Verbindungsaufbau mit TeamViewer nur beim ersten Mal das Passwort des fernzusteuernden Rechners eintippen muss. Bei weiteren Verbindungsversuchen füllt das Fernwartungsprogramm das entsprechende Eingabefeld automatisch aus, sofern die Anwendung nicht zwischenzeitlich beendet wurde. TeamViewer hält das Passwort für diesen Zweck im Arbeitsspeicher vor – und das kann es einem Angreifer unter bestimmten Umständen leichter machen als nötiig.

Kurzzeitgedächtnis

Gelingt es dem Angreifer, das System zu infizieren, auf dem der TeamViewer-Client läuft, kann er das Passwort aus dem Speicher lesen und damit die Kontrolle über weitere Systeme erlangen. Der Hersteller erklärte gegenüber heise Security, dass es sich dabei um eine Komfortfunktion handelt, die man unter "Extras / Optionen / Erweitert / Erweiterte Einstellungen für Verbindungen zu anderen Computern" durch die Checkbox "Kennwörter für erneute Verbindungen zwischenspeichern" abschalten kann.

Die Funktion ist standardmäßig aktiv. Das Unternehmen hatte nach Bekanntwerden des Lecks angekündigt, "die Funktion evaluieren und gegebenenfalls geeignete Maßnahmen ergreifen" zu wollen. Wie der Hersteller nun gegenüber heise Security erklärte, wird sich TeamViewer das Passwort künftig nur noch fünf Minuten merken. Anschließend soll es aus dem Speicher gelöscht werden. Die neue Maßnahme werde bereits mit einigen Nutzern getestet und soll in Kürze auch alle anderen Kunden erreichen. (rei)