Trong thời gian gần đây đã xuất hiện những thông tin trên X và các diễn đàn tin tặc về một lỗ hổng thực thi mã từ xa được cho là tồn tại trên ứng dụng Telegram dành cho Windows và cho rằng đây là lỗ hổng Zero-Click.
Ngày 9/4, Telegram nhanh chóng phản bác những tuyên bố này, cho rằng họ không thể xác nhận rằng lỗ hổng như vậy có tồn tại và những thông tin lan truyền trên các nền tảng mạng xã hội là lừa đảo.
Tuy nhiên ngay sau đó (ngày 10/4), một bằng chứng về khái niệm (PoC) đã được chia sẻ trên diễn đàn tấn công XSS giải thích rằng một lỗi đánh máy trong mã nguồn của Telegram trên cho Windows có thể bị khai thác để gửi tệp Python là .pyzw và bypass các cảnh báo bảo mật khi người dùng kích chuột vào tệp này. Khi đó Python sẽ tự động thực thi mà không có cảnh báo từ Telegram giống như đối với các tệp thực thi khác.
Telegram đã phủ nhận mọi thông tin nhưng xác nhận rằng họ đã khắc phục sự cố trên ứng dụng Telegram đối với phiên bản Windows để ngăn các tập lệnh Python tự động khởi chạy khi được nhấp vào.
Ứng dụng Telegram trên Windows theo dõi danh sách các phần mở rộng tệp được liên kết với các tệp có nguy cơ rủi ro bảo mật, đặc biệt là các tệp thực thi. Khi người dùng gửi một trong các loại tệp này trên Telegram và người nhận nhấp vào tệp, thay vì tự động khởi chạy trong chương trình được liên kết trong Windows, trước tiên Telegram sẽ hiển thị cảnh báo bảo mật như Hình 1.
Hình 1. Cảnh báo bảo mật khi mở các tệp thực thi rủi ro
Khi cài đặt Python trên Windows, ứng dụng sẽ liên kết với phần mở rộng tệp .pyzw với tệp thực thi khác, khiến Python tự động thực thi các tập lệnh khi tệp được người dùng kích chọn.
Phần mở rộng .pyzw dành cho các ứng dụng zip Python, là các chương trình Python có trong kho lưu trữ ZIP. Các nhà phát triển Telegram nhận thức được rằng những loại tệp thực thi này được coi là rủi ro bảo mật và đã thêm nó vào danh sách các phần mở rộng tệp thực thi.
Tuy nhiên khi thêm tiện ích mở rộng, các nhà phát triển đã mắc lỗi đánh máy, nhập tiện ích mở rộng là “pywz” thay vì viết đúng chính tả là “pyzw”.
Hình 2. Sửa lỗi chính tả cho phần mở rộng .pyzw
Do đó, khi những tệp này được gửi qua Telegram và được kích chọn, chúng sẽ tự động được Python khởi chạy nếu nó được cài đặt trong Windows. Điều này cho phép kẻ tấn công bypass các cảnh báo bảo mật một cách hiệu quả và thực thi mã từ xa trên thiết bị Windows của mục tiêu nếu chúng có thể đánh lừa họ mở tệp.
Để giả mạo tệp, các nhà nghiên cứu đã nghĩ ra cách sử dụng bot Telegram để gửi tệp có định dạng video/mp4, khiến Telegram hiển thị tệp dưới dạng video được chia sẻ. Nếu người dùng nhấp vào video để xem, tập lệnh sẽ tự động được khởi chạy thông qua Python dành cho Windows.
Trang BleepingComputer đã thử nghiệm cách khai thác này với nhà nghiên cứu an ninh mạng AabyssZG. Sử dụng phiên bản Telegram cũ hơn, BleepingComputer đã nhận được tệp video[.]pywz được ngụy trang dưới dạng video mp4. Tệp này chỉ chứa mã Python để mở CMD.
Hình 3. PoC video về tệp pyzw
Tuy nhiên, như trong Hình 4, khi người dùng nhấp vào video để xem, Python sẽ tự động thực thi tập lệnh để mở ứng dụng CMD.
Hình 4. Python tự động thực thi tập lệnh để mở CMD
Lỗi này đã được báo cáo cho Telegram vào ngày 10/4 và phía công ty đã cập nhật bản vá bằng cách sửa lỗi chính tả của phần mở rộng trong tệp mã nguồn data_document_resolver[.]cpp.
Tuy nhiên, bản vá này dường như chưa có sẵn vì các cảnh báo không xuất hiện khi người dùng nhấp vào tệp để khởi chạy. Thay vào đó, Telegram sử dụng một bản vá sửa lỗi phía máy chủ gắn thêm phần mở rộng .untrusted vào các tệp pyzq, khi được nhấp vào, Windows sẽ hỏi người dùng muốn sử dụng chương trình nào để mở nó, thay vì tự động khởi chạy bằng Python.
Telegram cho biết, các phiên bản trong tương lai của ứng dụng trên Windows sẽ bao gồm các thông báo về cảnh báo bảo mật thay vì gắn thêm tiện ích mở rộng “.untrusted”, qua đó tăng thêm tính bảo mật cho quy trình thực thi.
Hồng Đạt
(Bleepingcomputer)
10:00 | 28/08/2023
12:00 | 28/04/2023
10:00 | 15/12/2022
14:00 | 25/04/2024
Theo cơ quan thông tấn Nga (TASS) đưa tin, tại hội nghị tổ chức ở thủ đô Moscow, Giám đốc điều hành Kaspersky Lab, Eugene Kaspersky, đã giới thiệu mẫu smartphone đầu tiên chạy hệ điều hành KasperskyOS do hãng tự phát triển. Đây cũng là smartphone đầu tiên có phần cứng được thiết kế bởi Aquarius, hoạt động tốt dù đang trong giai đoạn thử nghiệm.
09:00 | 13/02/2024
Ngành công nghiệp trò chơi hiện nay vẫn đang trên đà phát triển, theo thống kê của công ty tư vấn và nghiên cứu thị trường Grand View Research (Mỹ), doanh thu trò chơi trên toàn cầu ước tính khoảng 242,39 tỷ USD, với gần một nửa trong số đó đến từ khu vực châu Á - Thái Bình Dương (APAC). Với doanh thu và số lượng người chơi ngày càng tăng, ngành công nghiệp trò chơi được dự báo tiếp tục trở thành mục tiêu “hấp dẫn” của tội phạm mạng, những thể loại trò chơi phổ biến đang được sử dụng làm mồi nhử cho các chiến dịch độc hại. Bài viết này trình bày những phát hiện chính về các mối đe dọa mạng liên quan đến ngành công nghiệp trò chơi trong năm 2023, dựa trên báo cáo tổng hợp của hãng bảo mật Kaspersky.
16:00 | 18/12/2023
Nhóm tình báo mối đe dọa của Microsoft mới đây vừa cho biết nhóm tin tặc Cold River đã tiếp tục tham gia vào các hoạt động đánh cắp thông tin xác thực chống lại các mục tiêu có lợi ích chiến lược đối với Nga, đồng thời chỉ ra rằng nhóm này cũng cải thiện khả năng trốn tránh phát hiện của mình.
13:00 | 14/12/2023
Trước kia trẻ em thường chỉ chịu sự ảnh hưởng giáo dục, thông tin tại gia đình và nhà trường. Tuy nhiên với thời đại công nghệ hiện nay, trẻ em còn có sự tác động và thông tin từ môi trường Internet. Thế giới ảo đã và đang tác động mạnh mẽ đến trẻ em với những rủi ro như bị xâm hại tình dục, lộ, lọt thông tin cá nhân, tin giả, bắt nạt qua mạng.... Chính vì vậy, phụ huynh và giáo viên được coi là lực lượng tiên phong, cần hỗ trợ và bảo vệ các em bằng việc cung cấp những thông tin, kiến thức và cách thức nói chuyện cũng như các bài giảng slide hữu ích dành cho trẻ.
Trong tháng 4/2024, Microsoft, Adobe và SAP lần lượt phát hành bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt bản vá để phòng tránh rủi ro mất an toàn thông tin.
14:00 | 04/05/2024