Trong thời gian gần đây đã xuất hiện những thông tin trên X và các diễn đàn tin tặc về một lỗ hổng thực thi mã từ xa được cho là tồn tại trên ứng dụng Telegram dành cho Windows và cho rằng đây là lỗ hổng Zero-Click.
Ngày 9/4, Telegram nhanh chóng phản bác những tuyên bố này, cho rằng họ không thể xác nhận rằng lỗ hổng như vậy có tồn tại và những thông tin lan truyền trên các nền tảng mạng xã hội là lừa đảo.
Tuy nhiên ngay sau đó (ngày 10/4), một bằng chứng về khái niệm (PoC) đã được chia sẻ trên diễn đàn tấn công XSS giải thích rằng một lỗi đánh máy trong mã nguồn của Telegram trên cho Windows có thể bị khai thác để gửi tệp Python là .pyzw và bypass các cảnh báo bảo mật khi người dùng kích chuột vào tệp này. Khi đó Python sẽ tự động thực thi mà không có cảnh báo từ Telegram giống như đối với các tệp thực thi khác.
Telegram đã phủ nhận mọi thông tin nhưng xác nhận rằng họ đã khắc phục sự cố trên ứng dụng Telegram đối với phiên bản Windows để ngăn các tập lệnh Python tự động khởi chạy khi được nhấp vào.
Ứng dụng Telegram trên Windows theo dõi danh sách các phần mở rộng tệp được liên kết với các tệp có nguy cơ rủi ro bảo mật, đặc biệt là các tệp thực thi. Khi người dùng gửi một trong các loại tệp này trên Telegram và người nhận nhấp vào tệp, thay vì tự động khởi chạy trong chương trình được liên kết trong Windows, trước tiên Telegram sẽ hiển thị cảnh báo bảo mật như Hình 1.
.png)
Hình 1. Cảnh báo bảo mật khi mở các tệp thực thi rủi ro
Khi cài đặt Python trên Windows, ứng dụng sẽ liên kết với phần mở rộng tệp .pyzw với tệp thực thi khác, khiến Python tự động thực thi các tập lệnh khi tệp được người dùng kích chọn.
Phần mở rộng .pyzw dành cho các ứng dụng zip Python, là các chương trình Python có trong kho lưu trữ ZIP. Các nhà phát triển Telegram nhận thức được rằng những loại tệp thực thi này được coi là rủi ro bảo mật và đã thêm nó vào danh sách các phần mở rộng tệp thực thi.
Tuy nhiên khi thêm tiện ích mở rộng, các nhà phát triển đã mắc lỗi đánh máy, nhập tiện ích mở rộng là “pywz” thay vì viết đúng chính tả là “pyzw”.
.png)
Hình 2. Sửa lỗi chính tả cho phần mở rộng .pyzw
Do đó, khi những tệp này được gửi qua Telegram và được kích chọn, chúng sẽ tự động được Python khởi chạy nếu nó được cài đặt trong Windows. Điều này cho phép kẻ tấn công bypass các cảnh báo bảo mật một cách hiệu quả và thực thi mã từ xa trên thiết bị Windows của mục tiêu nếu chúng có thể đánh lừa họ mở tệp.
Để giả mạo tệp, các nhà nghiên cứu đã nghĩ ra cách sử dụng bot Telegram để gửi tệp có định dạng video/mp4, khiến Telegram hiển thị tệp dưới dạng video được chia sẻ. Nếu người dùng nhấp vào video để xem, tập lệnh sẽ tự động được khởi chạy thông qua Python dành cho Windows.
Trang BleepingComputer đã thử nghiệm cách khai thác này với nhà nghiên cứu an ninh mạng AabyssZG. Sử dụng phiên bản Telegram cũ hơn, BleepingComputer đã nhận được tệp video[.]pywz được ngụy trang dưới dạng video mp4. Tệp này chỉ chứa mã Python để mở CMD.
Hình 3. PoC video về tệp pyzw
Tuy nhiên, như trong Hình 4, khi người dùng nhấp vào video để xem, Python sẽ tự động thực thi tập lệnh để mở ứng dụng CMD.
Hình 4. Python tự động thực thi tập lệnh để mở CMD
Lỗi này đã được báo cáo cho Telegram vào ngày 10/4 và phía công ty đã cập nhật bản vá bằng cách sửa lỗi chính tả của phần mở rộng trong tệp mã nguồn data_document_resolver[.]cpp.
Tuy nhiên, bản vá này dường như chưa có sẵn vì các cảnh báo không xuất hiện khi người dùng nhấp vào tệp để khởi chạy. Thay vào đó, Telegram sử dụng một bản vá sửa lỗi phía máy chủ gắn thêm phần mở rộng .untrusted vào các tệp pyzq, khi được nhấp vào, Windows sẽ hỏi người dùng muốn sử dụng chương trình nào để mở nó, thay vì tự động khởi chạy bằng Python.
Telegram cho biết, các phiên bản trong tương lai của ứng dụng trên Windows sẽ bao gồm các thông báo về cảnh báo bảo mật thay vì gắn thêm tiện ích mở rộng “.untrusted”, qua đó tăng thêm tính bảo mật cho quy trình thực thi.
Hồng Đạt
(Bleepingcomputer)
10:00 | 28/08/2023
12:00 | 28/04/2023
10:00 | 15/12/2022
14:00 | 19/02/2024
Hợp doanh Accenture (Mỹ) và SandboxAQ cung cấp khả năng quản lý mật mã toàn diện dựa trên trí tuệ nhân tạo (AI), tận dụng Bộ bảo mật của SandboxAQ để cung cấp các giải pháp AI và điện toán lượng tử.
13:00 | 23/01/2024
Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) bổ sung vào danh mục Các lỗ hổng bị khai thác đã biết (KEV) sáu lỗ hổng ảnh hưởng đến các sản phẩm của Apple, Adobe, Apache, D-Link và Joomla.
16:00 | 08/12/2023
Nhằm tăng cường, trực quan hoá các kiến thức, kỹ năng tự bảo vệ, phòng ngừa trước các nguy cơ xâm hại trẻ em trên môi trường mạng, Cục C02, Bộ Công an đã tham gia xây dựng phần mềm “Phòng, chống xâm hại trẻ em”. Ứng dụng có thể cài đặt trên thiết bị thông minh chạy điều hành Androi và IOS, với các bộ câu hỏi liên quan đến lĩnh vực: Xâm hại trẻ em, bạo lực học đường, phòng, chống ma tuý, căn cước công dân, an toàn giao thông…, các hình ảnh hướng dẫn kỹ năng phòng, chống xâm hại trẻ em; đường dây nóng của các đơn vị và những câu chuyện liên quan đến tình huống xâm hại trẻ em.
15:00 | 06/10/2023
Nhà cung cấp mã nguồn mở Red Hat đã công bố một nền tảng biên công nghiệp (industrial edge) mới, được thiết kế với sự hợp tác của Intel, sẽ cung cấp một cách tiếp cận hiện đại để xây dựng và vận hành các biện pháp kiểm soát công nghiệp. Với nền tảng này, các nhà sản xuất sẽ có quyền truy cập vào nền tảng công nghiệp tiên tiến mới, giúp xây dựng các nhà máy được xác định bằng phần mềm thông minh và tối ưu hơn.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Trong tháng 4/2024, Microsoft, Adobe và SAP lần lượt phát hành bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt bản vá để phòng tránh rủi ro mất an toàn thông tin.
14:00 | 04/05/2024
