Telegram ha solucionado una falla de día cero (zero-day) en su aplicación de escritorio para Windows, que se podía utilizar para eludir advertencias de seguridad del sistema al hacer clic en archivos de riesgo e iniciar automáticamente ‘scripts’ maliciosos de Python.
Usuarios de la red social X (antes Twitter) como de foros de piratería han advertido de la existencia de una presunta falla de ejecución remota de código (RCE) para la aplicación de escritorio para el sistema operativo que desarrolla Microsoft.
Un RCE se produce cuando un ciberdelincuente ejecuta código malicioso en un ordenador o en la red de equipos de una organización, con el cobjetivo de implementar ‘malware’ adicional o robar datos confidenciales de los usuarios registrados.
Algunos de los mensajes decían que se trataba de un RCE de ‘clic cero’, esto es, que no necesitaba que la víctima hiciera clic en un enlace malicioso. Sin embargo, también comenzó a circular un vídeo en el que presuntamente se mostraba esta falla con alguien haciendo clic en un enlace.
El vídeo también evidencia que Telegram no mostraba advertencias de seguridad al intentar acceder a archivos potencialmente fraudulentos, a lo que la plataforma respondió el pasado 9 de abril afirmando que no se podía confirmar la existencia de esta vulnerabilidad. “Este vídeo probablemente sea un bulo”, comentó en su cuenta de X.
Al día siguiente, se compartió una prueba de concepto del ‘exploit‘ en el foro de piratería XSS, donde se señaló que un error tipográfico en el código fuente de Telegram para Windows se podía explotar para enviar archivos Python fraudulentos con la extensión ‘.pytzw’, capaces de omitir las advertencias de seguridad del sistema.
Esto provocaba que este lenguaje de programación ejecutara de forma automática el archivo malicioso sin una advertencia de Telegram, que sí la habría mostrado si no fuera por este error tipográfico en el código, tal y como recoge Bleeping Computer.
Dicha prueba de concepto también era fraudulenta, ya que se utilizó para distribuir el archivo Python malicioso e incitar a los usuarios a hacer clic sobre el falso vídeo para verlo, logrando así la descarga del ‘malware’ en sus equipos a través de la plataforma de comunicación.
Telegram, por su parte, ha confirmado a Bleeping Computer que ha solucionado el “problema” en la aplicación para Windows, evitando así el inicio automático de los scripts de Python, aunque ha negado que el error registrado se tratase de una falla de ‘clic cero’.
“Se ha aplicado una solución del lado del servidor para garantizar que este problema ya no se vuelva a reproducir, de modo que todas las versiones de Telegram para Escritorio ya no lo tienen”, ha explicado la plataforma en un comunicado.
Un error tipografía
Bleeping Computer ha sugerido que el origen de este problema reside en la activación de una extensión incorrecta en el repositorio de la aplicación para Escritorio, que dispone de una lista de extensiones de archivos de riesgo para los equipos, como es el caso de los ejecutables.
Cuando se envía uno de estos archivos en Telegram y un usuario hace clic sobre él, en lugar de iniciar automáticamente el programa asociado en Windows, Telegram muestra una advertencia de seguridad, en la que señala que ese archivo con extensión ‘.exe’ “puede dañar el ordenador”.
Sin embargo, los archivos desconocidos y no registrados en esta lista que se comparten en Telegram se inician de forma automática en Windows, lo que permite que el sistema operativo decida qué programa utilizar para ejecutarlos, lo que explica que inicialmente se confundiera este ataque con uno de ‘clic cero’.
Por otra parte, cuando se instala Python para Windows, se asocia la extensión de archivo ‘.pyzw’ con el ejecutable Python, lo que hace que este lenguaje ejecute los ‘scripts’ de forma automática cuando se hace doble clic en el archivo recibido a través del servicio de mensajería.
Este medio ha subrayado que la extensión ‘.pyzw’ es para ‘zipapps’ de Python, esto es, programas Python autónomos contenidos en archivos ZIP, que se consideran peligrosos y que los desarrolladores de la plataforma incluyen en la mencionada lista de extensiones de archivos de riesgo.
Sin embargo, al introducirlos en ella, se añadieron con la extensión incorrecta: en lugar de indicar ‘.pyzw’, los desarrolladores cambiaron de lugar las dos últimas letras, para guardarlos como ‘.pywz’. Esto significa que cuando uno de esos archivos se envió a través de Telegram y se hizo clic sobre ellos, Python lo inició de forma automática si estaban instalados en Windows, lo que permitió a los ciberdelincuentes eludir las advertencias de seguridad del sistema y ejecutar ataques RCE.
Así, para ocultar la carga maliciosa, los ciberdelincuentes compartieron el archivo de riesgo difrazado, como si se tratara de un vídeo, con el código ‘video/mp4’. De esa manera, una vez los usuarios hicieran clic sobre él, se iniciaba automáticamente el script fradulento a través de Python para Windows.
