Telegram, Windows masaüstü uygulamasında güvenlik uyarılarını atlamak ve Python komut dosyalarını otomatik olarak başlatmak için kullanılabilecek bir sıfır gün güvenlik açığını düzeltti.
Geçtiğimiz günlerde söylentiler ortaya çıktı. X üzerinde dolaşan ve Windows için Telegram’da olduğu iddia edilen bir uzaktan kod yürütme güvenlik açığı hakkında forumların hacklenmesi.
Bu gönderilerden bazıları bunun bir sıfır tıklama kusuru olduğunu iddia etse de, iddia edilen güvenlik uyarısını ve RCE güvenlik açığını gösteren videolar, birinin Windows hesap makinesini başlatmak için paylaşılan medyaya tıkladığını açıkça gösteriyor.
Telegram, “böyle bir güvenlik açığının var olduğunu doğrulayamadıklarını” ve videonun muhtemelen bir aldatmaca olduğunu belirterek bu iddialara hızla itiraz etti.
Ancak ertesi gün, XSS hack forumunda Telegram for Windows’un kaynak kodundaki bir yazım hatasının Python’u göndermek için kullanılabileceğini açıklayan bir istismar kavramı kanıtı paylaşıldı. .pyzw tıklandığında güvenlik uyarılarını atlayan dosyalar.
Bu, diğer yürütülebilir dosyalar için olduğu gibi dosyanın Python tarafından Telegram’dan bir uyarı olmadan otomatik olarak yürütülmesine neden oldu ve bir yazım hatası olmasaydı bu dosya için de yapılması gerekiyordu.
Daha da kötüsü, kavram kanıtı istismarı, Python dosyasını, kullanıcıları sahte videoya tıklayıp izlemeleri için kandırmak amacıyla kullanılabilecek bir küçük resimle birlikte paylaşılan bir video olarak gizledi.
BleepingComputer’a yaptığı açıklamada Telegram, hatanın sıfır tıklama hatası olduğuna haklı olarak itiraz ediyor ancak Python komut dosyalarının tıklandığında otomatik olarak başlatılmasını önlemek için Windows için Telegram’daki “sorunu” düzelttiklerini doğruladı. Bu, bir sonraki bölümde açıklayacağımız, sunucu tarafında yapılan bir düzeltmeydi
“Telegram Masaüstünde sıfır tıklama güvenlik açıklarının varlığına ilişkin söylentiler doğru değil. Bazı “uzmanlar” Telegram’da “otomatik indirmelerin devre dışı bırakılmasını” önerdi; otomatik indirmelerin tetikleyebileceği hiçbir sorun yoktu.
Ancak Telegram Desktop’ta, kullanıcının bilgisayarında Python yorumlayıcısı yüklüyken kötü amaçlı bir dosyaya TIKLAMASINI gerektiren bir sorun vardı. Önceki raporların aksine, bu bir sıfır tıklama güvenlik açığı değildi ve kullanıcı tabanımızın yalnızca küçük bir kısmını etkileyebilir: kullanıcılarımızın %0,01’inden azı Python’u yüklemiş ve Telegram for Desktop’ın ilgili sürümünü kullanıyor.
Bu sorunun artık tekrarlanmamasını sağlamak için sunucu tarafında bir düzeltme uygulandı, bu nedenle Telegram Desktop’ın tüm sürümlerinde (eski sürümler dahil) artık bu sorun yaşanmıyor.”
❖ Telgraf
BleepingComputer, Telegram’a kullanıcının Windows cihazlarında hangi yazılımın yüklü olduğunu nasıl bildiklerini sordu, çünkü bu tür veriler Gizlilik Politikalarında belirtilmemişti.
Telegram güvenlik açığı
Telegram Masaüstü istemcisi, yürütülebilir dosyalar gibi riskli dosyalarla ilişkili dosya uzantılarının bir listesini tutar.
Birisi Telegram’da bu dosya türlerinden birini gönderdiğinde ve kullanıcı dosyayı tıkladığında, Windows’ta ilgili programda otomatik olarak başlatmak yerine Telegram ilk olarak aşağıdaki güvenlik uyarısını görüntüler.
Telegram uyarısında “Bu dosya .exe uzantısına sahip. Bilgisayarınıza zarar verebilir. Çalıştırmak istediğinizden emin misiniz?” yazıyor.
Kaynak: BleepingComputer
Ancak Telegram’da paylaşılan bilinmeyen dosya türleri Windows’ta otomatik olarak başlatılacak ve işletim sisteminin hangi programın kullanılacağına karar vermesine izin verilecek.
Windows için Python yüklendiğinde, .pyzw dosya uzantısını Python yürütülebilir dosyasıyla değiştirir ve dosya çift tıklandığında Python’un komut dosyalarını otomatik olarak yürütmesine neden olur.
.pyzw uzantısı, ZIP arşivlerinde bulunan bağımsız Python programları olan Python zipapp’leri içindir.
Telegram geliştiricileri, bu tür yürütülebilir dosyaların riskli kabul edilmesi gerektiğinin farkındaydı ve bunları yürütülebilir dosya uzantıları listesine ekledi.
Ne yazık ki uzantıyı eklediklerinde bir yazım hatası yaparak uzantıyı ” şeklinde girmişler.pywz‘ ‘nin doğru yazılışı yerine’pyzw‘.
Kaynak: BleepingComputer.com
Dolayısıyla bu dosyalar Telegram üzerinden gönderildiğinde ve tıklandığında, eğer Windows’ta kuruluysa Python tarafından otomatik olarak başlatılıyor.
Bu, saldırganların güvenlik uyarılarını etkili bir şekilde atlamasına ve hedefin Windows cihazında, dosyayı açmaları için kandırabilmeleri durumunda uzaktan kod yürütmelerine olanak tanır.
Dosyayı maskelemek için araştırmacılar, dosyayı ‘video/mp4’ mime türüyle göndermek için bir Telegram botu kullanmayı tasarladılar ve bu da Telegram’ın dosyayı paylaşılan bir video olarak görüntülemesine neden oldu.
Kullanıcı izlemek için videoyu tıklarsa komut dosyası Windows için Python aracılığıyla otomatik olarak başlatılacaktır.
BleepingComputer bu istismarı siber güvenlik araştırmacısıyla test etti AabyssZGKim de paylaşılan gösteriler X’te.
Telegram’ın eski bir sürümünü kullanan BleepingComputer, araştırmacıdan mp4 video kılığına girmiş ‘video.pywz’ dosyasını aldı. Bu dosya, aşağıda gösterildiği gibi bir komut istemini açmak için Python kodunu içerir.
Kaynak: BleepingComputer
Ancak aşağıda görebileceğiniz gibi izlemek için videonun üzerine tıkladığınızda Python, komut istemini açan betiği otomatik olarak çalıştırır. Biraz NSFW olduğundan video küçük resmini düzenlediğimizi unutmayın.
Kaynak: BleepingComputer
Hata, 10 Nisan’da Telegram’a bildirildi ve ‘data_document_resolver.cpp’ kaynak kod dosyasındaki uzantı yazımını düzelterek sorunu düzelttiler.
Ancak, dosyayı başlatmak için tıkladığınızda uyarılar görünmediğinden bu düzeltme henüz yayında görünmüyor.
Bunun yerine Telegram, pyzq dosyalarına .untrusted uzantısını ekleyen, tıklandığında Windows’un Python’da otomatik olarak başlatmak yerine, onu açmak için hangi programı kullanmak istediğinizi sormasına neden olacak sunucu tarafı bir düzeltme kullandı.
Kaynak: BleepingComputer
Telegram Masaüstü uygulamasının gelecek sürümleri, “.untrusted” uzantısını eklemek yerine güvenlik uyarı mesajını içermelidir, bu da sürece biraz daha fazla güvenlik katacaktır.