Telegram verhelpt beveiligingslek dat uitvoeren Python-scripts mogelijk maakte
Telegram heeft een beveiligingslek in de Windows-desktopapplicatie verholpen waardoor het mogelijk was om Python-scripts zonder aanvullende waarschuwing uit te voeren. De afgelopen dagen ging op X een video rond waarin is te zien hoe een aanvaller code op het systeem van Telegram-gebruikers kan uitvoeren, nadat die eerst op een malafide bestand hebben geklikt.
Telegram liet herhaaldelijk weten dat het niet kon bevestigen dat een dergelijke kwetsbaarheid in de Windows-app aanwezig is en stelde dat de video waarschijnlijk een hoax is. Op internet werd echter een proof-of-concept exploit gedeeld waarin werd gesteld dat een typfout in de broncode van de Windows-app het mogelijk maakt om Python .pyzw-bestanden te versturen waarbij geen beveiligingswaarschuwing wordt getoond als gebruikers erop klikken, zoals bij andere soorten uitvoerbare bestanden wel het geval is.
Daarbij was het mogelijk om het verstuurde Python-bestanden als een video te doen lijken, inclusief thumbnail. Telegram stelt in een reactie tegenover Bleeping Computer dat er geen sprake van een 'zero-click' kwetsbaarheid is, waarbij systemen zonder interactie van gebruikers zijn aan te vallen. Wel bevestigt de chatapp het genoemde probleem in Telegram Desktop bij het openen van Python-bestanden.
Volgens Telegram heeft minder dan 0,01 procent van de gebruikers Python geïnstalleerd en gebruikt de betreffende versie van Telegram Desktop. Er s inmiddels een oplossing aan de serverkant uitgerold om gebruikers te beschermen. Hoe Telegram weet hoeveel gebruikers Python geïnstalleerd hebben is onbekend, aangezien het verzamelen van dit soort data niet in het privacybeleid wordt vermeld.
Want als dat wel zo was geweest, had het uitrollen van een fiks aan de server zijde niets uitgemaakt.
En hoe ze het weten? Nu misschien gebruikt de app zelf wel iets van Python of verzamelen ze gewoon meer dan in het privacy beleid staat aangegeven, het laatste is niet ongebruikelijk (wel in strijd met de wet natuurlijk).
Want als dat wel zo was geweest, had het uitrollen van een fiks aan de server zijde niets uitgemaakt.
En hoe ze het weten? Nu misschien gebruikt de app zelf wel iets van Python of verzamelen ze gewoon meer dan in het privacy beleid staat aangegeven, het laatste is niet ongebruikelijk (wel in strijd met de wet natuurlijk).
Blijkbaar moet je expliciet een 'private chat' starten voor E2EE. Er wordt standaard dus geen E2EE gebruikt.
In die ruime eerste seconde wordt er een bericht geopend en komt er een zwart venster tevoorschijn. Afgaande op de beschrijving van bleeping computer zal dat cmd.exe zijn, dat als voorbeeld wordt opgestart. Het is nauwelijks zichtbaar omdat deze gebruiker een donkere modus heeft ingesteld en wat donker op donker snel voorbij flitst is amper te onderscheiden. Het venster verdwijnt ook meteen weer uit zicht omdat de gebruiker al iets anders aanklikt en daardoor het Telegram-venster naar voren haalt.
In de overige bijna 7 seconden opent de gebruiker een calculatortje, voert daar 6666 in, sluit het weer, opent rechtsonder een menu met bovenin een rij icoontjes die me emoticons lijken. Hij klikt op een icoontje dat in mijn ogen nog het meest lijkt op een blauwe theepot. Het menu sluit weer, de theepot valt met een boogje omlaag. Onderin het scherm ontstaat ondertussen iets wits, de theepot valt erop en het lijkt in de animatie te exploderen.
Ik heb eerst een flinke tijd naar die video gekeken en me afgevraagd hoe ik in die calculator en het vreemde gedrag van dat icoontje de exploit moest herkennen. Als ik het goed begrijp heeft het er geen ene donder mee te maken en gaat het alleen om de eerste seconde.
Wat een manier van presenteren: waar het om gaat is lastig te onderscheiden en voorbij voor je er erg in hebt, gevolgd door iets dat veel beter zichtbaar is, langer duurt, raadselachtig is en dus de aandacht volledig trekt.
Ik kan me wel voorstellen dat Telegram er in eerste instantie een hoax in zag als zij dit zonder nadere uitleg moesten zien te interpreteren.
Dat is een gebruikelijke PoC om code execution te laten zien. Het sturen van de gif als reply is wellicht om aan te tonen dat het Telegram process nog (normaal) werkt.
Het is allemaal echter wel erg snel opvolgend zonder enige duiding. Ruimte voor verbetering haha.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.