Новости Telegram устранил 0day, используемый для удаленного запуска кода

NewsMaker

I'm just a script
Премиум
13,579
20
8 Ноя 2022
Разработчики объяснили в чем дело – все оказалось намного проще.


of9lv54aw6yjxgedo3769h1j510iwcm5.jpg


Telegram устранил уязвимость нулевого дня в своём приложении для Windows, которая позволяла обходить предупреждения безопасности и автоматически запускать скрипты Python . Об этом сообщили разработчики после распространения слухов и видео, демонстрирующих уязвимость на различных платформах и форумах.

Согласно Для просмотра ссылки Войди или Зарегистрируйся сообщению, ошибка в исходном коде позволяла отправлять файлы «.pyzw», которые при нажатии на них запускались автоматически. В Telegram отметили, что хотя изначально сообщалось о наличии уязвимости, позволяющей выполнять код без нажатия на файл, действительность оказалась иной. Для эксплуатации недостатка необходимо было наличие установленного интерпретатора Python и нажатие на замаскированный файл. Отмечается, что ошибка могла затронуть лишь незначительную долю пользователей — менее 0.01%.

Компания применила исправление на стороне сервера, благодаря которому файлы «.pyzw» теперь получают расширение «.untrusted», что заставляет Windows запрашивать, в какой программе открыть файл, вместо его автоматического запуска.


a482ly2fmnmxoyzyjru8dsx4vj13r530.png


Серверное исправление Telegram

Используя уязвимость, исследователи безопасности Для просмотра ссылки Войди или Зарегистрируйся файл под MP4-видео с использованием Telegram-бота, что вводило пользователей в заблуждение и заставляло их запускать скрипт. Такие действия позволяли злоумышленникам удалённо выполнять код на устройствах Windows.


kbengkf0p7l1j9pch9rhwe3akayhjc48.png


Демонстрация ошибки с открытием командной строки

После сообщения о недостатке 10 апреля, разработчики Telegram быстро внесли изменения в исходный код, исправив написание расширения Для просмотра ссылки Войди или Зарегистрируйся «data_document_resolver.cpp». Однако это исправление пока не действует, поскольку предупреждения не появляются, когда вы щелкаете файл для его запуска.

Расширение «.pyzw» предназначено для ZIP-приложений Python, которые представляют собой автономные программы Python, содержащиеся в ZIP-архивах. Разработчики Telegram осознавали, что такие типы исполняемых файлов следует считать рискованными, и добавили их в список расширений исполняемых файлов. Однако, при добавлении расширения, разработчики допустили опечатку, введя расширение как «pywz» вместо правильного написания «pyzw».


61u4hljb4cacs1jnojl9gtjvcaho5o2n.png



Исправление написания расширения Python «.pyzw»

Поэтому, когда файл был отправлен через Telegram, и пользователь нажал на него, автоматически запускался скрипт Python, если он был установлен в Windows.

Представители Telegram также заявили, что в будущих версиях приложения планируется возвращение предупреждений о безопасности, что усилит защиту пользователей от подобных атак.
 
Источник новости
www.securitylab.ru

Похожие темы