Telegram, Windows masaüstü uygulamasında güvenlik uyarılarını atlamak ve otomatik olarak Python komut dosyalarını başlatmak için kullanılabilecek sıfır gün güvenlik açığı düzeltildi.
Son birkaç gün içinde, Windows için telgrafta uzaktan kod yürütme kırılganlığı iddiasıyla ilgili olarak X ve forumları hackleme söylentileri.
Bu yayınların bazıları bunun sıfır tıkırtılı bir kusur olduğunu iddia ederken, iddia edilen güvenlik uyarı bypass ve RCE güvenlik açığını gösteren videolar, Windows hesap makinesini başlatmak için paylaşılan medyayı tıklayan birini açıkça gösteriyor.
Telegram, "böyle bir güvenlik açığının var olduğunu doğrulayamadıklarını" ve videonun muhtemelen bir aldatmaca olduğunu belirterek bu iddialara hızla itiraz etti.
Bununla birlikte, ertesi gün, XSS Hacking forumunda, Windows için telgraf için kaynak kodundaki bir yazım hatasının tıklandığında güvenlik uyarılarını atlayan Python .PyZW dosyalarını göndermek için bir yazım hatasının kullanılabileceğini açıklayan bir konsept istismar kanıtı paylaşıldı.
Bu, dosyanın Python tarafından diğer yürütülebilir ürünler için olduğu gibi Telegram'dan bir uyarı yapmadan otomatik olarak yürütülmesine neden oldu ve bir yazım hatası olmasaydı bu dosya için yapması gerekiyordu.
Daha da kötüsü, Concepts Wasloit'in kanıtı, kullanıcıları izlemek için sahte videoyu tıklamaya kandırmak için kullanılabilecek Python dosyasını paylaşılan bir video olarak gizledi.
BleepingComputer'a yaptığı açıklamada, Telegram haklı olarak hatanın sıfır tıkanık bir kusur olduğuna itiraz ediyor, ancak Python komut dosyalarının tıklandığında otomatik olarak başlatılmasını önlemek için Windows için telgraftaki "sorunu" düzelttiklerini doğruladı. Bu, bir sonraki bölümde açıkladığımız bir sunucu tarafı düzeltmesiydi
"Telegram masaüstünde sıfır tıkanık güvenlik açıklarının varlığıyla ilgili söylentiler yanlıştır. Telegram'da" otomatik indirmeleri devre dışı bırakmayı "öneren bazı" uzmanlar "-otomatik indirmeler tarafından tetiklenebilecek herhangi bir sorun yoktu.
Ancak, Telegram masaüstünde, kullanıcının bilgisayarlarına Python tercümanının yüklenmesini sağlarken kötü amaçlı bir dosyayı tıklamasını gerektiren bir sorun vardı. Daha önceki raporların aksine, bu sıfır tıkalı bir güvenlik açığı değildi ve kullanıcı tabanımızın sadece küçük bir kısmını etkileyebilir: kullanıcılarımızın% 0,01'inden azı Python'u yükledi ve masaüstü için Telegram'ın ilgili sürümünü kullandı.
Bu sorunun bile artık yeniden üretilmemesini sağlamak için bir sunucu tarafı düzeltmesi uygulandı, bu nedenle Telegram masaüstünün (tüm eski olanlar dahil) tüm sürümlerinde artık bu sorunu yok. "
BleepingComputer, Telegram'a kullanıcının Windows cihazlarına hangi yazılımın nasıl yüklendiğini bildiklerini sordu, çünkü bu tür veriler gizlilik politikalarında belirtilmedi.
Telegram masaüstü istemcisi, yürütülebilir dosyalar gibi riskli dosyalarla ilişkili dosya uzantıları listesini takip eder.
Birisi bu dosya türlerinden birini telgrafta gönderdiğinde ve bir kullanıcı Windows'ta ilişkili programda otomatik olarak başlatmak yerine dosyayı tıkladığında, Telegram ilk olarak aşağıdaki güvenlik uyarısını görüntüler.
Telegram uyarısını, "Bu dosyada .exe uzantısı var. Bilgisayarınıza zarar verebilir. Çalıştırmak istediğinizden emin misiniz?"
Ancak, telgrafta paylaşılan bilinmeyen dosya türleri, Windows'ta otomatik olarak başlatılacak ve işletim sisteminin hangi programı kullanacağına karar vermesine izin verecektir.
Windows için Python yüklendiğinde, .PyZW dosya uzantısını Python yürütülebilir dosyasıyla ilişkilendirir ve Python'un dosya çift tıklandığında komut dosyalarını otomatik olarak yürütmesine neden olur.
.PyZW uzantısı, ZIP arşivlerinde bulunan bağımsız Python programları olan Python Zipapps içindir.
Telegram geliştiricileri, bu tür yürütülebilir ürünlerin riskli olarak kabul edilmesi gerektiğinin farkındaydı ve yürütülebilir dosya uzantıları listesine eklediler.
Ne yazık ki, uzantıyı eklediklerinde, uzantıyı doğru 'Pyzw' yazımından ziyade 'pywz' olarak girdiler.
Bu nedenle, bu dosyalar telgraf üzerinden gönderilip tıklandığında, Windows'a yüklenirse Python tarafından otomatik olarak başlatıldı.
Bu, saldırganların güvenlik uyarılarını atlamasına ve dosyayı açmaya kandırabiliyorlarsa, bir hedefin Windows cihazındaki kodu uzaktan yürütmesine izin verir.
Dosyayı maskele etmek için araştırmacılar, dosyayı 'Video/MP4' türü ile göndermek için bir telgraf botu kullanarak tasarladılar ve Telegram'ın dosyayı paylaşılan bir video olarak görüntülemesine neden oldu.
Bir kullanıcı izlemek için videoyu tıklarsa, komut dosyası Windows için Python aracılığıyla otomatik olarak başlatılır.
BleepingComputer, bu istismarın Siber Güvenlik Araştırmacısı Aabysszg ile X.'de gösterileri de paylaştığını test etti.
Telegram'ın eski bir sürümünü kullanarak BleepingComputer, MP4 videosu olarak gizlenen araştırmacıdan 'Video.pywz' dosyasını aldı. Bu dosya, aşağıda gösterildiği gibi bir komut istemini açmak için Python kodu içerir.
Ancak, aşağıda görebileceğiniz gibi, izlemek için videoyu tıkladığınızda Python, komut istemini açan komut dosyasını otomatik olarak yürütür. Biraz NSFW olduğu için video küçük resimlerini düzelttiğimizi unutmayın.
Hata 10 Nisan'da Telegram'a bildirildi ve 'data_document_resolver.cpp' kaynak kodu dosyasındaki uzantı yazımını düzelterek düzelttiler.
Ancak, başlatmak için dosyayı tıkladığınızda uyarılar görünmediğinden, bu düzeltme henüz canlı görünmüyor.
Bunun yerine Telegram, Pyzw dosyalarına.
Telegram masaüstü uygulamasının gelecekteki sürümleri, ".AntrUsted" uzantısını eklemek yerine güvenlik uyarı mesajını içermeli ve sürece biraz daha fazla güvenlik eklemelidir.
Lazarus Hacker'ları çekirdek ayrıcalıkları kazanmak için Windows Zero Day'den yararlandı
Kritik pas kusuru, Windows komut enjeksiyon saldırılarını sağlar
Microsoft, kötü amaçlı yazılım saldırılarında sömürülen iki Windows sıfır gününü düzeltir
Google, adli tıp firmaları tarafından sömürülen iki piksel sıfır gün kusurunu düzeltir
Windows 11, Tesla ve Ubuntu Linux Pwn2own Vancouver'da hacklendi
Kaynak: Bleeping Computer