mysticfoxde
Goto Top

TEAMVIEWER - Kritische Sicherheitslücke - CVE-2025-0065

Moin Zusammen,

vor ein paar Tagen wurde eine kritische Sicherheitslücke bei Teamviewer entdeckt/veröffentlicht, die eine Rechteausweitung/"Privilege Escalation" ermöglicht. 😬

Weitere Details siehe:
https://www.borncity.com/blog/2025/01/31/teamviewer-client-schwachstelle ...
https://nvd.nist.gov/vuln/detail/CVE-2025-0065
https://www.heise.de/news/Teamviewer-Rechteausweitung-durch-Sicherheitsl ...

Sprich, bitte ASAP updaten!

https://www.teamviewer.com/en-us/download/

Gruss Alex

Content-ID: 671091

Url: https://administrator.de/knowledge/teamviewer-kritische-sicherheitsluecke-cve-2025-0065-671091.html

Ausgedruckt am: 12.03.2025 um 04:03 Uhr

ForgottenRealm
ForgottenRealm 02.02.2025 um 13:28:16 Uhr
Goto Top
Mal wieder Teamviewer ...

Zitat von @MysticFoxDE:
Sprich, bitte ASAP updaten!

oder es, mal wieder, als Grund zum Wechseln nehmen.
Globetrotter
Globetrotter 02.02.2025 um 17:43:23 Uhr
Goto Top
Schon wieder ?
Das war doch auch schon im Dezember...
Ich will den "Schmarren" nicht mehr haben face-sad

Gruss Globe!
MysticFoxDE
MysticFoxDE 02.02.2025 um 19:09:35 Uhr
Goto Top
Moin @ForgottenRealm,

oder es, mal wieder, als Grund zum Wechseln nehmen.

wenn ich wegen jedem CVE den Hersteller wechseln würde, dann wäre ich nur noch am Wechslen. 😔

Gruss Alex
MysticFoxDE
MysticFoxDE 02.02.2025 um 19:14:30 Uhr
Goto Top
Moin @Globetrotter,

Schon wieder ?
Das war doch auch schon im Dezember...

nicht ganz, es war der September.

https://www.cvedetails.com/cve/CVE-2024-7481/
https://www.cvedetails.com/cve/CVE-2024-7481/

Ich will den "Schmarren" nicht mehr haben face-sad

Mir gefällt das jetzt auch nicht wirklich. 😔

Bei den Alternativen sieht es jedoch sicherheitstechnisch auch nicht wirklich viel besser aus und funktional kommt meiner Erfahrung nach, so gut wie keine davon wirklich an Teamviewer heran.

Gruss Alex
Globetrotter
Globetrotter 02.02.2025 um 19:35:23 Uhr
Goto Top
@alex..
Bin kein Dienstleister mehr.. zum Glück!..
Teste seit einem halben Jahr TRMM INTERN only... sie machen sich und supporten auch Intel AMT/VPRO ;).. ist spannend weil intern und fast nicht Cloud...

Gruss Globe!
MysticFoxDE
MysticFoxDE 02.02.2025 um 20:35:49 Uhr
Goto Top
Moin @Globe,

Bin kein Dienstleister mehr.. zum Glück!..

beide Seiten haben durchaus ihre Vor- und Nachteile. 🙃
Du musst dich als Angestellter, auf jeden Fall nicht mehr so Arg mit irgendwelchen Ämter prüggeln.

Teste seit einem halben Jahr TRMM INTERN only... sie machen sich und supporten auch Intel AMT/VPRO ;).. ist spannend weil intern und fast nicht Cloud...

Für internen Adminsessions nutzen wir bei so gut wie jedem Kunden noch nach wie vor RDP und für User-Support eben Teamviewer, weil es vor allem Userseitig sehr unkompliziert ist.

Gruss Alex
improver
improver 04.02.2025 aktualisiert um 11:07:50 Uhr
Goto Top
Ich bringe mal eine offene Alternative mit ein, steht auf meiner todo List:

HopToDesk

Danke für den Hinweis auf TRMM! sehr interessant.

Die einfache Anwendbarkeit Teamviewers, und das multiplatform, ist tatsächlich sehr hilfreich!

Hier steht der Test aus, ob HopToDesk mithalten kann. Multiplatform ist jedenfalls gegeben.

Cheers
Globetrotter
Globetrotter 05.02.2025 um 19:24:59 Uhr
Goto Top
Hi @improver
.. und wie verdienen die Ihr Geld ?
Auf den ersten Blick ist alles kostenlos face-wink sehr komisch ...
Kostenlos für den privaten und kommerziellen Gebrauch. <<
.. was treiben die im Hintergrund.. ?

Gruss Globe!
Starmanager
Starmanager 06.02.2025 um 15:55:49 Uhr
Goto Top
Heute haben sie ein anderes Problem. Sie senden den Usern eine Einladung zum Support. Alle unsere Teamviewer User wurden von Teamviewer angeschrieben dass ein Ticket auf sie wartet. Wie sowas passieren kann ist mir Schleierhaft.

@TeamViewer Immer weiter so. Ihr richtet die Firma schon noch hin.
SarekHL
SarekHL 09.02.2025 aktualisiert um 08:26:06 Uhr
Goto Top
Zitat von @improver:

Ich bringe mal eine offene Alternative mit ein, steht auf meiner todo List:
HopToDesk

Spannend ... zumal TeamViewer die Preise schon wieder angezogen hat. Aber funktioniert das Teil auch ohne Installation und ohne Adminrechte auf Userseite? Wenn ich das Teil starte, meldet sich erst mal die UAC und fordert erhöhte Rechte ein, wenn ich abbreche, startet das Tool aber trotzdem.

Bei TeamViewer habe ich dann ja die Möglichkeit, auch wenn der User nur das QuickSupport-Modul verwendet, mich mit Windows-Credentials anzumelden und so auch Admin-Rechte zu bekommen, ohne dass der User das Admin-Kennwort braucht. Diese Möglichkeit finde ich essentiell. Aber in den FAQs heißt es, dass HopToDesk für bestimmte Administrative Funktionen installiert sein muss. Auch wenn da nicht steht, ob beim Supporter oder beim Kunden vermute ich letzteres - und das würde es dann unflexibel machen.
improver
improver 10.02.2025 aktualisiert um 13:20:33 Uhr
Goto Top
Wenn ich das Teil starte, meldet sich erst mal die UAC und fordert erhöhte Rechte ein, wenn ich abbreche, startet das Tool aber trotzdem.

Danke für den ersten Test. Dies scheint somit so zu funktionieren, wie TeamviewerQuickSupport:

reichst du dem Tool Admin Berechtigungen, hast du vollen Zugriff auf den Rechner.
Skipst du die UAC, hast du nur die Rechte des Users, der das Tool startet.

.. und wie verdienen die Ihr Geld ?

keine Ahnung. Das Tool steht unter
GNU AGPLv3
GNU AGPLv3_wikipedia

Bei einem genaueren Blick zeigt sich die Firma dahinter:
begonia-holdings aus Dubai

Somit kann es sein, dass die Lizenz irgendwann geändert wird und ein kommerzielles Produkt auf der Grundlage gebaut wird.
-WeBu-
-WeBu- 11.02.2025 um 00:03:58 Uhr
Goto Top
Sie fangen erst mal alle gratis "für Privatgebrauch" an.
SarekHL
SarekHL 11.02.2025 um 12:26:02 Uhr
Goto Top
Skipst du die UAC, hast du nur die Rechte des Users, der das Tool startet.

Genau, und beim TeamViewer kann ich bei der Anmeldung Windows-Anmeldedaten verwenden und habe dann die Berechtigungen dieses Users. So kann ich Admin-Funktionen nutzen, auch wenn der User nur das QuickSupport-Modul mit Userrechten gestartet hat. Das ist für mich eine wesentliche Funktion.
-WeBu-
-WeBu- 11.02.2025 um 13:15:16 Uhr
Goto Top
Okay, aber wenn das doch klappt, wenn es beim Kunden installiert ist, würde es doch genauso laufen wie bei TeamViewer.
SarekHL
SarekHL 11.02.2025 um 14:04:59 Uhr
Goto Top
Okay, aber wenn das doch klappt, wenn es beim Kunden installiert ist, würde es doch genauso laufen wie bei TeamViewer.

DANN ja ... aber die Notwendigkeit einer Installation (um alle Funktionen nutzen zu können) macht es erst mal unflexibler ...
-WeBu-
-WeBu- 11.02.2025 um 14:56:23 Uhr
Goto Top
Ohne mir sicher zu sein aber ich glaube, dass z.B bei AnyDesk die gleiche Restriktion existiert. Wer tatsächlich mit Adminrechten arbeiten will, der muss AnyDesk auf dem Client installieren.

Teamviewer habe ich schon ewig nicht mehr mit der uninstallierten Version auf einem Client genutzt.