Telegram solucionó una falla de día cero (zero-day) en su aplicación de escritorio para Windows, que era usada para eludir alertas de seguridad del sistema.
Su utilización se efectuaba al hacer clic en archivos de riesgo e iniciar automáticamente ‘scripts’ maliciosos de Python.
Fueron los usuarios de X (ex Twitter) como de foros de piratería los que alertaron la existencia de esta falla de ejecución remota de código (RCE).
EL OBJETIVO ES APLICAR UN MALWARE Y ROBAR DATOS
Se llama RCE a lo que ocurre cuando un ciberdelincuente ejecuta código malicioso en un ordenador o en la red de equipos de una organización.
El objetivo de esta persona es implementar ‘malware’ adicional o robar datos confidenciales de los usuarios registrados.
Algunos de los mensajes decían que se trataba de un RCE de ‘clic cero’, esto es, que no necesitaba que la víctima hiciera clic en un enlace malicioso.
NO PODÍA CONFIRMAR LA EXISTENCIA DEL MALWARE
Sin embargo, también comenzó a circular un vídeo en el que presuntamente se mostraba esta falla con alguien haciendo clic en un enlace.
El vídeo también evidencia que Telegram no mostraba advertencias de seguridad al intentar acceder a archivos potencialmente fraudulentos.
Ante este reclamo, la plataforma respondió el pasado 9 de abril afirmando que no se podía confirmar la existencia de esta vulnerabilidad.
“Este vídeo probablemente sea un bulo”, comentó en su cuenta de X.
TELEGRAM APUNTÓ A UN ERROR TIPOGRÁFICO
Luego, se compartió una prueba de concepto del ‘exploit’ en el foro de piratería XSS.
Allí, se apuntó que un error tipográfico en el código fuente de Telegram para Windows se podía explotar para enviar archivos Python fraudulentos con la extensión ‘.pytzw’.
Estas, según lo señalado, son capaces de omitir las advertencias de seguridad del sistema.
Esto provocaba que este lenguaje de programación ejecutara de forma automática el archivo malicioso sin una advertencia de Telegram.
LA DISTRIBUCIÓN DEL ARCHIVO PHTHON
Por el contrario, aseguran, Telegram sí la habría mostrado si no fuera por este error tipográfico en el código. De esta forma es manifestado en Bleeping Computer.
Dicha prueba de concepto también era fraudulenta, ya que se utilizó para distribuir el archivo Python malicioso e incitar a hacer clic sobre el falso vídeo para verlo.
Con dicha acción, lograban la descarga del ‘malware’ en sus equipos a través de la plataforma de comunicación.
TELEGRAM INFORMÓ QUE SOLUCIONÓ EL PROBLEMA
Telegram, por su parte, confirmó a Bleeping Computer que solucionó el “problema” en la aplicación para Windows.
Con esto, aseguró evitar el inicio automático de los scripts de Python, aunque ha negado que el error registrado se tratase de una falla de ‘clic cero’.
“Se ha aplicado una solución del lado del servidor para garantizar que este problema ya no se vuelva a reproducir”, detalló la plataforma en un comunicado.
En ese sentido, agregó: “Todas las versiones de Telegram para Escritorio ya no lo tienen”.
UNA LISTA DE EXTENSIONES DE ARCHIVOS DE RIESGO
Bleeping Computer sugirió que el origen de este problema reside en la activación de una extensión incorrecta en el repositorio de la aplicación para Escritorio.
Esta, dispone de una lista de extensiones de archivos de riesgo para los equipos, como es el caso de los ejecutables.
Cuando se envía uno de estos archivos en Telegram y se hace clic sobre él, la red social muestra una advertencia de seguridad.
LA EXTENSIÓN .EXE PUEDE DAÑAR EL ORDENADOR
Es decir, no da lugar al inicio automático del programa asociado en Windows. En dicho alerta, señala que ese archivo con extensión ‘.exe’ “puede dañar el ordenador”.
Sin embargo, los archivos desconocidos y no registrados en esta lista que se comparten en Telegram se inician de forma automática en Windows.
Su inicio automático permite que el sistema operativo decida qué programa utilizar para ejecutarlos.
EL MOTIVO DE LA CONFUSIÓN
Es esta la explicación, aseguran, de por que inicialmente se confundió este ataque con uno de ‘clic cero’.
Al instalar Python para Windows, se asocia la extensión de archivo ‘.pyzw’ con el ejecutable Python, que hace que este lenguaje ejecute los ‘scripts’ automáticamente con dos clic.
Se subrayó que la extensión ‘.pyzw’ es para ‘zipapps’ de Python, esto es, programas Python autónomos contenidos en archivos ZIP.
LOS DESARROLLADORES CAMBIARDON DOS LETRAS
Estos se consideran peligrosos y que los desarrolladores de la plataforma incluyen en la mencionada lista de extensiones de archivos de riesgo.
Pero al introducirlos, se añadieron con la extensión incorrecta: en lugar de indicar ‘.pyzw’, los desarrolladores cambiaron de lugar las dos últimas letras, para guardarlos como ‘.pywz’.
Esto significa que cuando uno de esos archivos se envió a través de Telegram y se hizo clic sobre ellos, Python lo inició de forma automática si estaban instalados en Windows.
EL ARCHIVO DE RIESGO DISFRAZADO
Se trata de una situación que permitió a los ciberdelincuentes eludir las advertencias de seguridad del sistema y ejecutar ataques RCE.
Así, para ocultar la carga maliciosa, los ciberdelincuentes compartieron el archivo de riesgo difrazado, como si se tratara de un vídeo, con el código ‘video/mp4′.
De esa manera, una vez los usuarios hicieran clic sobre él, se iniciaba automáticamente el script fradulento a través de Python para Windows.
Fuente: EP.
