Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon 0-Day en Telegram permitía enviar archivos dañinos camuflados como vídeos


Investigadores de ESET descubrieron un exploit Zero-Day de Telegram para Android que aprovecha una vulnerabilidad a la que han denominado EvilVideo y permitía a los atacantes enviar archivos maliciosos camuflados como vídeos.

 

 

El exploit de Zero-Day dirigido a Telegram para Android apareció a la venta en foro el 6 de junio de 2024. Utilizando el exploit, los atacantes podían compartir cargas maliciosas para Android a través de canales, grupos y chat de Telegram, y hacerlas aparecer como archivos multimedia.  


 

Por defecto, los archivos multimedia recibidos a través de Telegram están configurados para descargarse automáticamente. Esto significa que los usuarios con la opción activada descargarán automáticamente la carga maliciosa una vez que abran la conversación en la que se compartió. La opción se puede desactivar manualmente, en cuyo caso, la carga se puede descargar pulsando el botón de descarga situado en la esquina superior izquierda del vídeo compartido. Si el usuario intenta reproducir el vídeo, la carga se descargará automáticamente. 


El exploit parece depender de que el actor de la amenaza sea capaz de generar una carga útil que muestre una aplicación de Android como una vista previa multimedia y no como un archivo adjunto binario. Una vez compartida en el chat, la carga maliciosa aparece como un vídeo de 30 segundo. 


La vulnerabilidad afectaba a todas las versiones de Telegram para Android hasta la 10.14.4, y ha sido parcheada a partir de la versión 10.14.5.

 

Por defecto, los archivos multimedia recibidos a través de Telegram están configurados para descargarse automáticamente. Esto significa que los usuarios con la opción activada descargarán automáticamente la carga maliciosa una vez que abran la conversación en la que se compartió. La opción se puede desactivar manualmente, en cuyo caso, la carga se puede descargar pulsando el botón de descarga situado en la esquina superior izquierda del vídeo compartido. Si el usuario intenta reproducir el vídeo, la carga se descargará automáticamente.


Si el usuario intenta reproducir el “vídeo”, Telegram muestra un mensaje de que no puede reproducirlo y sugiere utilizar un reproductor externo (ver Figura 4). Se trata de una advertencia original de Telegram que encontramos en el código fuente de la aplicación legítima de Telegram para Android; no ha sido creada ni empujada por la carga maliciosa.

Telegram Web y Escritorio

A pesar de que el payload fue creado únicamente para Telegram para Android, intentamos probar su comportamiento en otros clientes de Telegram. Probamos tanto el cliente Telegram Web como el cliente Telegram Desktop para Windows —como era de esperar, el exploit no funcionó en ninguno de ellos.

En el caso de Telegram Web, después de intentar reproducir el “vídeo”, el cliente mostró un mensaje de error diciendo que intentáramos abrir el vídeo con la aplicación de escritorio en su lugar (ver Figura 7). La descarga manual del archivo adjunto reveló que su nombre y extensión eran Teating.mp4. Aunque el archivo en sí era en realidad un binario ejecutable de Android (APK), el hecho de que Telegram lo tratara como un archivo MP4 impidió que el exploit funcionara: para que tuviera éxito, el archivo adjunto tendría que haber tenido la extensión .apk.

Algo muy similar ocurrió con el cliente Telegram Desktop para Windows: el archivo descargado se llamaba Teating.apk.mp4, por lo que se trataba de nuevo de un archivo binario APK con extensión .mp4. Esto sugiere que incluso si un atacante creara un ejecutable de Windows para ser utilizado en lugar del APK de Android, seguiría siendo tratado como un archivo multimedia y el exploit no funcionaría.

 

Informe sobre la vulnerabilidad

Tras descubrir la vulnerabilidad EvilVideo el 26 de junio de 2024, seguimos nuestra política de divulgación coordinada y la reportamos a Telegram, pero no recibimos respuesta en ese momento. Informamos de la vulnerabilidad de nuevo el 4 de julio, y esa vez, Telegram se puso en contacto con nosotros el mismo día para confirmar que su equipo estaba investigando EvilVideo. Arreglaron el problema, lanzando la versión 10.14.5 el 11 de julio, y nos informaron por correo electrónico.

La vulnerabilidad afectaba a todas las versiones de Telegram para Android hasta la 10.14.4, pero ha sido parcheada a partir de la versión 10.14.5. Según hemos comprobado, la vista previa multimedia del chat ahora muestra correctamente que el archivo compartido es una aplicación (Figura 9) y no un vídeo.

Fuente: WeLiveSecurity

 Vía:

https://blog.segu-info.com.ar/2024/07/zero-day-en-telegram-permitia-enviar.html


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.