Telegram, Windows Uygulamasındaki Zeroday Açığını Kapattı
Telegram, Windows masaüstü uygulamasında güvenlik uyarılarını atlatmak ve otomatik olarak Python komut dosyalarını başlatmak için kullanılabilecek Windows uygulamasındaki zeroday açığını düzeltti.
Son birkaç gündür, X ve hacking forumlarında Telegram’ın Windows için iddia edilen uzaktan kod yürütme açığı hakkında söylentiler dolaşıyordu.
Bu gönderilerin bazıları sıfır tıklama hatası olduğunu iddia ederken, iddia edilen güvenlik uyarısını atlatma ve RCE açığını gösteren videolar net bir şekilde birisinin Windows hesap makinesini başlatmak için paylaşılan medyaya tıkladığını gösteriyor.
Telegram Güvenlik Açığı Detayları
Ancak ertesi gün, XSS hacking forumunda paylaşılan bir kanıt oluşturma saldırısı, Telegram’ın Windows sürümündeki kaynak kodunda yapılan bir yazım hatasının, tıklanıldığında güvenlik uyarılarını atlamak için Python .pyzw dosyalarını göndermek için sömürülebileceğini açıkladı.
Bu, dosyanın Telegram’ın diğer yürütülebilir dosyalar için yaptığı gibi bu dosya için uyarı vermeden Python tarafından otomatik olarak yürütülmesine neden oldu ve eğer bir yazım hatası olmasaydı bu dosya için yapılması gereken buydu.
Dahası, kanıt oluşturma saldırısı, Python dosyasını paylaşılmış bir video olarak gizledi ve bir önizlemesi olan, kullanıcıları sahte videoyu izlemeye tıklamaya kandırmak için kullanılabilecek bir dosya olduğunu iddia etti.
Telegram, bu hatanın bir sıfır tıklama açığı olmadığını doğrulayarak BleepingComputer’a açıklamada bulundu, ancak Telegram’ın Windows sürümündeki “sorunu” düzelttiklerini ve Python betiklerinin tıklanıldığında otomatik olarak başlatılmasını önlemek için Telegram’a bir güncelleme yaptıklarını belirtti. Bu, bir sonraki bölümde açıkladığımız şekilde sunucu taraflı bir düzeltmeydi.
Bu hatanın çözümü için Telegram’a 10 Nisan’da bildirildi ve hatayı düzeltmek için ‘data_document_resolver.cpp’ kaynak kod dosyasında uzantının yazımını düzelttiler.
İlginizi çekebilecek yazımız: Siber Korsanlar, Zararlı Kod Enjekte Etmek İçin Notepad++ Eklentisini Kullandı
Ancak, bu düzeltmenin henüz aktif olmadığı görünüyor, çünkü dosyayı başlatmak için tıkladığınızda uyarılar görünmüyor.
Bunun yerine, Telegram, pyzw dosyalarına “.untrusted” uzantısını ekleyen ve tıklanıldığında Windows’un dosyaları açmak için hangi programı kullanmak istediğinizi sormasını sağlayan bir sunucu tarafı düzeltmesi kullandı.
Telegram Masaüstü uygulamasının gelecekteki sürümleri, süreci biraz daha güvenli hale getirmek için “.untrusted” uzantısı eklemek yerine güvenlik uyarı mesajını içermelidir.