Информационная безопасность IT

9 апреля была обнаружена уязвимость в приложении Telegram под Windows с возможность автоматически исполнения кода при загрузки файла, то есть с 1 щелчком мыши..

14 апреля Telegram исправляет уязвимость и файлы расширения “pywz” не запускаются автоматически.

Уязвимость могла затронуть лишь небольшую часть пользователей: менее 0,01% установили Python и используют соответствующую версию Telegram для ПК.

Telegram составил список расширений с высоким риском (например, exe). Перед их запуском появляется предупреждение о безопасности: "Этот файл имеет расширение .exe и может нанести вред вашему компьютеру. Вы уверены, что хотите его запустить?"

Однако неизвестные файлы могли запускаться автоматически. Ошибка заключалась в расширении "pywz", которое было добавлено в список как "pyzw". В результате файлы автоматически запускались с помощью Python. Через Python можно было запустить вирус удаленного доступа или локер.

На сайте BleepingComputer был проведен тест этой уязвимости с исследователем кибербезопасности AabyssZG. С использованием старой версии Telegram журналисты получили от исследователя файл "video.pywz", маскированный под видео в формате mp4. Он содержал код Python для открытия командной строки. Однако при клике на видео Python автоматически выполнял сценарий, который открывал командную строку.

Будущие версии приложения Telegram Desktop должны включать предупреждающее сообщение о безопасности, а не добавлять расширение ".untrusted", что повысит безопасность процесса.

Вот теперь можно спать спокойно.

Немного паранойи, но не скачиваете лишний раз файлы, ниоткуда) А если скачивать, то вначале тестировать на виртуальной машине или проверять на вирус тотал. Довольно странно будет при запуске mp4 видит консольную строку…

2) CVE-2024-24576 (оценка CVSS: 10) связана с ошибкой механизма передачи команд и аргументов ОС, что позволяет аутентифицированному злоумышленнику удаленно выполнять вредоносный код без взаимодействия с пользователем. Атака обладает низкой сложностью исполнения.

Группа по реагированию на угрозы безопасности Rust была уведомлена о том, стандартная библиотека Rust не может должным образом экранировать аргументы при вызове пакетных файлов (с расширениями bat и cmd) в Windows с помощью Command API.

Киберпреступник, контролирующий аргументы запущенного процесса, может выполнять произвольные команды в оболочке, обходя экранирование. Критическое значение уязвимости отмечается при вызове файлов пакетной обработки на Windows с ненадежными аргументами. Другие платформы или случаи использования не подвержены риску.

Проблема затрагивает все версии Rust до 1.77.2 на Windows, если код программы или одна из ее зависимостей вызывает и выполняет файлы пакетной обработки с ненадежными аргументами

Я пробовала написать ей на этот адрес, предупредить, договориться, чтобы она перестала им пользоваться. Хотя бы потому, что я зарегистрировала свой 20 лет назад, а она явно позже. И мне отказаться от него уже невозможно.

Но каждый раз я сама же получала своё письмо. Как и должно быть, если логин с точкой и без считается одним и тем же. Я пыталась найти на Gmail живую техподдержку или релевантный вопрос с готовым ответом. Я писала тем, кто отправлял ей письма, с просьбой предупредить её. Но пока всё по-прежнему.

Иногда я задаюсь вопросом: получает ли и она письма, предназначенные мне. Или почему я получаю не всю её корреспонденцию подряд. Или не появится ли со временем у меня двойник на моём новом аккаунте с другой фамилией. Кстати, похоже, что появился: недавно мне стала приходить англоязычная рассылка, на которую я не подписывалась, и адрес получателя там почти тот же, что у меня, — но снова без точки.

Чудесен, непредсказуем и ненадёжен этот мир, нет на него управы и мастера техобслуживания.

В 2018 году ФБР и Федеральная полиция Австралии провели одну из крупнейших операций на планете. Операция получила название ANOM (также стилизованная под AN0M или ΛNØM). В ходе данной операции были перехвачены миллионы отправленных сообщений через предположительно безопасное фирменное приложение для обмена сообщениями ANOM на базе смартфона. Служба ANOM широко использовалась преступниками, но вместо обеспечения безопасной связи на самом деле это был троянский конь, тайно распространяемый Федеральным бюро расследований США (ФБР) и Федеральной полицией Австралии (AFP). Благодаря сотрудничеству с другими правоохранительными органами по всему миру в результате операции было арестовано более 800 подозреваемых, предположительно причастных к преступной деятельности, в 16 странах.

Вся переписка и звонки дублировались на специальные сервера ФБР. Примечательно, что идея для данной операции появилась у человека, попавшегося в США по статье, связанной с киберпреступлениями. Для снижения срока и улучшения условий обвинения аноним из Сан-Диего разработал приложение для ANOM и через свои связи предложил трём бывшим дистрибьюторам распространить его смартфон, который был якобы защищён от "прослушки".

Устройства ANOM состояли из приложения для обмена сообщениями, работающего на смартфонах Android, которое было специально модифицировано для отключения стандартных функций (голосовая телефония, электронная почта или службы определения местоположения), а также с добавлением рандомизации расположения номеров и удаления всей информации на телефоне при вводе определенного PIN-кода.

С октября 2018 года в Австралии было распространено около 50 устройств для бета-тестирования. Перехваченные сообщения показали, что каждое устройство использовалось для преступной деятельности, в первую очередь организованными преступными группировками. В 2020 году в США было отправлено около 125 устройств.

После довольно вялого старта темпы распространения ANOM резко увеличились с середины 2019 года. К октябрю 2019 года пользователей было несколько сотен. К маю 2021 года уже насчитывалось 11 800 устройств с установленным ANOM, из них около 9 000 широко использовались. Только полиция Швеции имела доступ к разговорам 1600 пользователей, из которых они сосредоточили внимание на 600 пользователях. Европол заявил, что с устройств ANOM было собрано 27 миллионов сообщений в более чем 100 странах.

Источник