Telegram a corrigé une vulnérabilité zero-day dans son application de bureau Windows qui pouvait être utilisée pour contourner les avertissements de sécurité et lancer automatiquement des scripts Python.

Au cours des derniers jours, des rumeurs ont circulé sur les forums X et de piratage concernant une prétendue vulnérabilité d’exécution de code à distance dans Telegram pour Windows.

Alors que certains de ces messages affirmaient qu’il s’agissait d’une faille sans clic, les vidéos démontrant le prétendu contournement d’avertissement de sécurité et la vulnérabilité RCE montrent clairement que quelqu’un clique sur un média partagé pour lancer la calculatrice Windows.

Telegram a rapidement contesté ces affirmations, déclarant qu’ils « ne peuvent pas confirmer qu’une telle vulnérabilité existe » et que la vidéo est probablement un canular.

Cependant, le lendemain, un exploit de preuve de concept a été partagé sur le forum de piratage XSS expliquant qu’une faute de frappe dans le code source de Telegram pour Windows pouvait être exploitée pour envoyer Python .fichiers pyzw qui contournent les avertissements de sécurité lorsque vous cliquez dessus.

Cela a entraîné l’exécution automatique du fichier par Python sans avertissement de Telegram comme c’est le cas pour les autres exécutables, et était censé le faire pour ce fichier s’il n’y avait pas de faute de frappe.

Pour aggraver les choses, l’exploit de preuve de concept a déguisé le fichier Python en une vidéo partagée, avec une vignette, qui pourrait être utilisée pour inciter les utilisateurs à cliquer sur la fausse vidéo pour la regarder.

Dans une déclaration à Breachtrace , Telegram conteste à juste titre que le bogue était une faille sans clic, mais a confirmé qu’ils avaient résolu le « problème » dans Telegram pour Windows pour empêcher les scripts Python de se lancer automatiquement lorsque vous cliquez dessus. Il s’agissait d’un correctif côté serveur, que nous expliquons dans la section suivante

« Les rumeurs sur l’existence de vulnérabilités sans clic dans Telegram Desktop sont inexactes. Certains  » experts « ont recommandé de » désactiver les téléchargements automatiques  » sur Telegram — il n’y avait aucun problème qui aurait pu être déclenché par des téléchargements automatiques.

Cependant, sur Telegram Desktop, il y avait un problème qui obligeait l’utilisateur à CLIQUER sur un fichier malveillant tout en ayant l’interpréteur Python installé sur son ordinateur. Contrairement aux rapports précédents, il ne s’agissait pas d’une vulnérabilité sans clic et cela ne pouvait affecter qu’une infime fraction de notre base d’utilisateurs: moins de 0,01% de nos utilisateurs ont Python installé et utilisent la version correspondante de Telegram pour ordinateur de bureau.

Un correctif côté serveur a été appliqué pour garantir que même ce problème ne se reproduit plus, de sorte que toutes les versions de Telegram Desktop (y compris toutes les anciennes) n’ont plus ce problème. »

❖ Télégramme


Breachtrace a demandé à Telegram comment ils savaient quels logiciels étaient installés sur les appareils Windows de l’utilisateur, car ce type de données n’est pas mentionné dans leur politique de confidentialité.

La vulnérabilité Telegram
Le client de bureau Telegram garde une trace d’une liste d’extensions de fichiers associées à des fichiers à risque, tels que des fichiers exécutables.

Lorsqu’une personne envoie l’un de ces types de fichiers dans Telegram et qu’un utilisateur clique sur le fichier, au lieu de se lancer automatiquement dans le programme associé sous Windows, Telegram affiche d’abord l’avertissement de sécurité suivant.

« Ce fichier a l’extension .exé. Cela peut endommager votre ordinateur. Êtes-vous sûr de vouloir l’exécuter?, « lit l’avertissement du télégramme.

Avertissement de sécurité lors de l’ouverture des exécutables risk

Cependant, les types de fichiers inconnus partagés dans Telegram seront automatiquement lancés dans Windows, laissant le système d’exploitation décider du programme à utiliser.

Lorsque Python pour Windows est installé, il associera le .extension de fichier pyw avec l’exécutable Python, provoquant l’exécution automatique des scripts par Python lorsque le fichier est double-cliqué.

Les .l’extension pyw est destinée aux applications zip Python, qui sont des programmes Python autonomes contenus dans des archives ZIP.

Les développeurs de Telegram étaient conscients que ces types d’exécutables devaient être considérés comme risqués et l’ont ajouté à la liste des extensions de fichiers exécutables.

Malheureusement, lorsqu’ils ont ajouté l’extension, ils ont fait une faute de frappe, en entrant l’extension comme « pywz » plutôt que l’orthographe correcte de « pyzw ».

Correction de l’orthographe pour le .extension pyzw pour Python

Par conséquent, lorsque ces fichiers étaient envoyés via Telegram et cliqués, ils étaient automatiquement lancés par Python s’il était installé sous Windows.

Cela permet effectivement aux attaquants de contourner les avertissements de sécurité et d’exécuter du code à distance sur le périphérique Windows d’une cible s’ils peuvent les inciter à ouvrir le fichier.

Pour masquer le fichier, les chercheurs ont conçu l’utilisation d’un robot Telegram pour envoyer le fichier avec un type mime « vidéo/mp4 », ce qui a permis à Telegram d’afficher le fichier en tant que vidéo partagée.

Si un utilisateur clique sur la vidéo pour la regarder, le script sera automatiquement lancé via Python pour Windows.

Breachtrace a testé cet exploit avec le chercheur en cybersécurité AabyssZG, qui a également partagé des démonstrations sur X.

En utilisant une ancienne version de Telegram, Breachtrace a reçu la vidéo .fichier pyw ‘ du chercheur déguisé en vidéo mp4. Ce fichier contient simplement du code Python pour ouvrir une invite de commande, comme indiqué ci-dessous.

vidéo.exploit de validation de principe pyzw

Cependant, comme vous pouvez le voir ci-dessous, lorsque vous cliquez sur la vidéo pour la regarder, Python exécute automatiquement le script, ce qui ouvre l’invite de commande. Notez que nous avons expurgé la vignette de la vidéo car elle est légèrement NSFW.

Démonstration du bogue Telegram pour ouvrir une invite de commande

Le bogue a été signalé à Telegram le 10 avril, et ils l’ont corrigé en corrigeant l’orthographe de l’extension dans le ‘data_document_resolver.fichier de code source de cpp.

Cependant, ce correctif ne semble pas encore opérationnel, car les avertissements n’apparaissent pas lorsque vous cliquez sur le fichier pour le lancer.

Au lieu de cela, Telegram a utilisé un correctif côté serveur qui ajoute le .extension non fiable des fichiers pyzw, qui, une fois cliquée, amènera Windows à vous demander quel programme vous souhaitez utiliser pour les ouvrir plutôt que de les lancer automatiquement en Python.

Correction côté serveur des télégrammes

Les futures versions de l’application de bureau Telegram devraient inclure le message d’avertissement de sécurité plutôt que d’ajouter le « .extension « non fiable », ajoutant un peu plus de sécurité au processus.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *