Telegram verhelpt beveiligingslek dat uitvoeren Python-scripts mogelijk maakte
Telegram heeft een beveiligingslek in de Windows-desktopapplicatie verholpen waardoor het mogelijk was om Python-scripts zonder aanvullende waarschuwing uit te voeren. De afgelopen dagen ging op X een video rond waarin is te zien hoe een aanvaller code op het systeem van Telegram-gebruikers kan uitvoeren, nadat die eerst op een malafide bestand hebben geklikt.
Telegram liet herhaaldelijk weten dat het niet kon bevestigen dat een dergelijke kwetsbaarheid in de Windows-app aanwezig is en stelde dat de video waarschijnlijk een hoax is. Op internet werd echter een proof-of-concept exploit gedeeld waarin werd gesteld dat een typfout in de broncode van de Windows-app het mogelijk maakt om Python .pyzw-bestanden te versturen waarbij geen beveiligingswaarschuwing wordt getoond als gebruikers erop klikken, zoals bij andere soorten uitvoerbare bestanden wel het geval is.
Daarbij was het mogelijk om het verstuurde Python-bestanden als een video te doen lijken, inclusief thumbnail. Telegram stelt in een reactie tegenover Bleeping Computer dat er geen sprake van een 'zero-click' kwetsbaarheid is, waarbij systemen zonder interactie van gebruikers zijn aan te vallen. Wel bevestigt de chatapp het genoemde probleem in Telegram Desktop bij het openen van Python-bestanden.
Volgens Telegram heeft minder dan 0,01 procent van de gebruikers Python geïnstalleerd en gebruikt de betreffende versie van Telegram Desktop. Er s inmiddels een oplossing aan de serverkant uitgerold om gebruikers te beschermen. Hoe Telegram weet hoeveel gebruikers Python geïnstalleerd hebben is onbekend, aangezien het verzamelen van dit soort data niet in het privacybeleid wordt vermeld.
Want als dat wel zo was geweest, had het uitrollen van een fiks aan de server zijde niets uitgemaakt.
En hoe ze het weten? Nu misschien gebruikt de app zelf wel iets van Python of verzamelen ze gewoon meer dan in het privacy beleid staat aangegeven, het laatste is niet ongebruikelijk (wel in strijd met de wet natuurlijk).
Want als dat wel zo was geweest, had het uitrollen van een fiks aan de server zijde niets uitgemaakt.
En hoe ze het weten? Nu misschien gebruikt de app zelf wel iets van Python of verzamelen ze gewoon meer dan in het privacy beleid staat aangegeven, het laatste is niet ongebruikelijk (wel in strijd met de wet natuurlijk).
Blijkbaar moet je expliciet een 'private chat' starten voor E2EE. Er wordt standaard dus geen E2EE gebruikt.
In die ruime eerste seconde wordt er een bericht geopend en komt er een zwart venster tevoorschijn. Afgaande op de beschrijving van bleeping computer zal dat cmd.exe zijn, dat als voorbeeld wordt opgestart. Het is nauwelijks zichtbaar omdat deze gebruiker een donkere modus heeft ingesteld en wat donker op donker snel voorbij flitst is amper te onderscheiden. Het venster verdwijnt ook meteen weer uit zicht omdat de gebruiker al iets anders aanklikt en daardoor het Telegram-venster naar voren haalt.
In de overige bijna 7 seconden opent de gebruiker een calculatortje, voert daar 6666 in, sluit het weer, opent rechtsonder een menu met bovenin een rij icoontjes die me emoticons lijken. Hij klikt op een icoontje dat in mijn ogen nog het meest lijkt op een blauwe theepot. Het menu sluit weer, de theepot valt met een boogje omlaag. Onderin het scherm ontstaat ondertussen iets wits, de theepot valt erop en het lijkt in de animatie te exploderen.
Ik heb eerst een flinke tijd naar die video gekeken en me afgevraagd hoe ik in die calculator en het vreemde gedrag van dat icoontje de exploit moest herkennen. Als ik het goed begrijp heeft het er geen ene donder mee te maken en gaat het alleen om de eerste seconde.
Wat een manier van presenteren: waar het om gaat is lastig te onderscheiden en voorbij voor je er erg in hebt, gevolgd door iets dat veel beter zichtbaar is, langer duurt, raadselachtig is en dus de aandacht volledig trekt.
Ik kan me wel voorstellen dat Telegram er in eerste instantie een hoax in zag als zij dit zonder nadere uitleg moesten zien te interpreteren.
Dat is een gebruikelijke PoC om code execution te laten zien. Het sturen van de gif als reply is wellicht om aan te tonen dat het Telegram process nog (normaal) werkt.
Het is allemaal echter wel erg snel opvolgend zonder enige duiding. Ruimte voor verbetering haha.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
