Архив метки: Telegram

Об уязвимости "EvilVideo" в Telegram for Android

Об уязвимости EvilVideo в Telegram for Android

Об уязвимости "EvilVideo" в Telegram for Android. Пост вышел в блоге компании ESET. Они сообщают, что эксплоит для уязвимости продаётся в даркнете.

🔻 Злоумышленник создаёт payload, который отображается в Telegram for Android не как файл, а как превьюшка видео. По умолчанию медиафайлы в Telegram скачиваются автоматически, когда пользователь видит сообщение в чате. Этот payload также скачается.
Если пользователь жмёт на превьюшку, ему показывается ошибка Telegram с предложением использовать внешний медиа плеер.
Если пользователь соглашается, идёт попытка поставить APK.
Если пользователь разрешает установку APK из Telegram и ещё раз кликает на превьюшку, высвечивается окошко об установке приложения.
Если пользователь жмёт install, то получает зловреда. 👾
🎞 Есть видео демонстрация.

🔻 Уязвимость исправили в версии 10.14.5, все версии старше уязвимы.

Это далеко не 0click, но при грамотной социалке (превьюшка, название APK приложения и т.п.), эффективность может быть высокой.

Telegram-канал @avleonovrus "Управление Уязвимостями и прочее" преодолел психологически важную отметку 5000 подписчиков

Telegram-канал @avleonovrus Управление Уязвимостями и прочее преодолел психологически важную отметку 5000 подписчиков

Telegram-канал @avleonovrus "Управление Уязвимостями и прочее" преодолел психологически важную отметку 5000 подписчиков. Ура-ура! 🎉 На Территории Безопасности меня спросили: а зачем я этим занимаюсь, какая цель этого всего? Отвечаю. Цели нет. Есть путь. Рефлексия превращается в слова, слова собираются в пост, пост публикуется. Всё. Ну и в результате получается такая база перелинкованных постов на разные темы, в которой можно, при необходимости, что-то найти. Особенно приятно, что я эту базу утащил на свой хостинг, где она продолжит существовать после блокировки Телеграма. 😉

Часто стали предлагать разместить здесь рекламу за деньги. Моя позиция: пока у меня есть хорошо оплачиваемая основная работа, мне такое неинтересно.

Но готов обмениваться постами с хорошими каналами. Идеально, чтобы была сходная тематика про VM/Compliance Management. Главное, чтобы без вареза и намёков на блэк.

Большое спасибо всем подписчикам! Особенное спасибо тем, кто лайкает и шарит посты! 🙂👨‍💻

Новый трек про потенциальную апрельскую zero-click RCE уязвимость в Telegram

Новый трек про потенциальную апрельскую zero-click RCE уязвимость в Telegram. 🙂 Рифмованная переработка предыдущего поста.

На прошлой неделе разыгралась драма:
Якобы zero-click RCE в Windows клиенте Телеграма.
Злодей засылает картинку тебе, друже,
И запускает калькулятор или что похуже.
Или даже не конкретно тебе, не столь важен адресат,
Это может быть и какой-нибудь общий чат.
Главное, включенная автозагрузка изображений.
Неужели правда?! Есть несколько мнений.

Разрабы Телеграма отрицают фаталити.
Есть что показать? Шлите на bug bounty!
За 10к баксов. Верить ли видео? Решай сам.
Вполне может быть и какой-то скам.

Однако, как по мне, это видео реальное,
Хотя и ситуация не такая фатальная.
Это не zero-click, а запускает зловреда тушку
Беспечный клик жертвы на превьюшку.
Этот клик запускает файл .pyzw,
Если не знаешь что это, сейчас поясню.
Исполняемый zip-архив с программой на Питон.
Запускать такое по клику в мессенджере - страшный сон.
И Телеграм такое должен бы блокировать вроде
Если бы не досадная опечатка в коде…

Но почему это файл показывается как картинка?
Похоже наложилась в детeкте по Mime-type ошибка.

Короче, по в вопросу zero-click RCE в Telegram ставим пока многоточие…
А ты подпишись на канал avleonovrus "Управление Уязвимостями и прочее". 😉

Начитался про RCE уязвимость Telegram прошлой недели

Начитался про RCE уязвимость Telegram прошлой недели

Начитался про RCE уязвимость Telegram прошлой недели. BleepingComputer, Хабр1, Хабр2. Пока всё ещё очень противоречиво. Мне кажется вероятным такой расклад:

🔹 Видео настоящее.
🔹 Это не zero-click RCE, калькулятор запускается после клика на превьюшку.
🔹 После клика на превьюшку скачивается и выполняется .pyzw файл (executable Python zip archive). Так что недавний фикс разработчиков Telegram, добавляющий нотификацию о потенциальной опасности при клике на .pyzw файлы (нотификации не было из-за курьёзной опечатки), на самом деле касался именно этой уязвимости.
🔹 BleepingComputer пишет про довольно сомнительную работу с файлами в Telegram: "неизвестные типы файлов, опубликованные в Telegram, будут автоматически запускаться в Windows, позволяя операционной системе решить, какую программу использовать". Файлы .pyzw были как раз такими "неизвестными" из-за опечатки. Кажется тут будет много граблей ещё и лучше бы по клику никогда ничего не запускать. 🤔
🔹 Почему .pyzw файл выглядит как превьюшка изображения - отдельная загадочная тема. BleepingComputer пишет: "Чтобы замаскировать файл, исследователи придумали использовать бот Telegram для отправки файла с mime-типом «video/mp4», в результате чего Telegram отображает файл как общедоступное видео." Пользователь Хабра пишет, что механизм там несколько другой. Мне, честно говоря, именно эти подробности не очень интересны. Научились как-то маскировать и ладно.

Что делать? Windows зло и клиент Telegram под Windows тоже зло, сносите. 🙂

А если серьёзно, то

🔸 Отключить автоматическое скачивание картинок и видео выглядят разумной предосторожностью. Вполне допускаю в будущем наличие уязвимости именно в обработке изображений или видео Telegram-клиентом.
🔸 Веб-версия Telegram, по идее, должна быть безопаснее десктопного приложения. 🤷‍♂️
🔸 Идеально мессенджер, как и браузер, в виртуалке запускать, чтобы ещё больше осложнить злоумышленнику жизнь. 😏

А так, в первую очередь у разработчиков Telegram должна голова об этом болеть, а дело пользователей регулярно его обновлять. 😉

По поводу трагических событий вчерашнего вечера и первых показаний схваченных упырей приходят в голову следующие мысли

По поводу трагических событий вчерашнего вечера и первых показаний схваченных упырей приходят в голову следующие мысли

По поводу трагических событий вчерашнего вечера и первых показаний схваченных упырей приходят в голову следующие мысли. Прошу воспринимать как попытку спроецировать корпоративные ИБшные практики на контроль частных коммуникаций внутри государства с использованием массовых средств связи.

🔻 Существование массовых средств связи позволяющих устанавливать более-менее приватный анонимный контакт кого угодно с кем угодно вступает в противоречие с требованиями безопасности (и не только информационной). Необходимо исходить из того, что соединения в такой системе будут массово инициировать злоумышленники и самое "безобидное", что они могут делать (если берём даже обычную телефонную связь) это запугивать, обирать и всячески манипулировать беззащитными стариками и прочими внушаемыми людьми. А хуже и гаже может быть до бесконечности. С этим невозможно эффективно бороться, если средство связи нельзя контролировать.

🔻 Как мы, ИБшники ловим злоумышленников в ЛВС организаций? Методами мониторинга и поиском аномалий. Первичное анонимное соединение (например "неизвестный написал в личку со странным предложением") это аномалия, которая должна анализироваться. Если средство связи не допускает эффективный мониторинг, то использование его должно быть максимально затруднено. Это к слову о перспективах Telegram и других иностранных средств связи, особенно предлагающих сильное сквозное шифрование. Они либо должны находиться под контролем гос. органов (предоставлять средства для эффективного мониторинга), либо должны быть надёжно заблокированы. 🤷‍♂️ Первое предпочтительнее.

🔻 Что мы, ИБшники, делаем в организации, когда средство связи позволяет выполнять анонимные входящие соединения, отказ от этого средства связи невозможен и этим активно пользуются злоумышленники? В каждой организации с этим сталкиваются, когда пытаются защититься от фишинга через электронную почту. Да, для этого применяют и проверку входящих писем техническими средствами. Но очень важный момент это антифишинговые рассылки. Т.е. учебные атаки на сотрудников инициированные самими ИБшниками с использованием типовых методов, которые используют злоумышленники. Это делается чтобы повысить осведомлённость сотрудников и заранее определить внутренних злоумышленников (согласных, например, на разглашение данных компании за вознаграждение). Потенциальный внутренний злоумышленник должен в каждом соблазнительном предложении подозревать провокацию и бояться попасться на провокацию в первую очередь. Как это транслируется на массовые коммуникации? Нужно не ждать, когда с группами риска начнут работать злоумышленники, а работать с ними самим (в том числе через управляемые провокации).

Итого видятся 3 направления работы специальных служб в части коммуникаций: борьба с неконтролируемыми массовыми средствами связи, эффективный мониторинг контролируемых средств связи и работа с группами риска до того как ими займутся реальные злоумышленники.

Upd. Дополнил и переписал пост, чтобы было более понятно о чём я. Хотя думаю большая часть тех, кто дизлайкнули, видят в этом тексте просто предложение заблокировать Телеграм. На самом деле нет, я верю что возможен вариант эффективного контроля Телеграм, при котором блокировка будет не нужна. Также я думаю, что все 3 направления не являются чем-то новым и работы по ним ведутся без какой-либо внешней указки.

Вчера канал перевалил за 4000 подписчиков

Вчера канал перевалил за 4000 подписчиков
Вчера канал перевалил за 4000 подписчиковВчера канал перевалил за 4000 подписчиков

Вчера канал перевалил за 4000 подписчиков. 🎉 Ощутимая величина! 😇 Спасибо за доверие! Буду продолжать делиться с вами всяким разным про VM. 🌝

Немного статистики:

🔻 +1000 подписчиков с ноября.
🔻 С момента появления инструмента "Similar Channels" он даёт хороший устойчивый прирост. Спасибо Дурову за фичу и за то, что он пока её не монетизирует. 😏
🔻 Хороший буст дают репосты в каналы и группы - за репосты всем большое спасибо! Пик 9 января - уязвимость GitLab.
🔻 Шарящиеся папки с каналами дают очень хороший прирост, но кратковременный. И потом многие отписываются или не читают. Возможно потому, что каналы подбираются с несколько разной тематикой. Можно подумать в сторону папки чисто про уязвимости, раз в несколько месяцев её обновлять и синхронно репостить в участвующие каналы. 🤔
🔻 У подавляющего числа подписчиков выставлена русская локаль. Есть и с английской (ни о чём не говорит - у меня тоже английская). А вот ненулевое количество читателей с другими локалями любопытно.

Официально запускаю зеркало телеграмм-канала на домене avleonov.ru (сайт на WordPress)

Официально запускаю зеркало телеграмм-канала на домене avleonov.ru (сайт на WordPress)

Официально запускаю зеркало телеграмм-канала на домене avleonov.ru (сайт на WordPress). В конце сентября у меня был пост о том, что неплохо бы разместить контент из телеграмм-канала на собственной площадке, потому как рано или поздно у ТГ в России начнутся проблемы.

В итоге получилось разработать скрипт, который по выгрузке из телеграмм-канала обновляет сайт на WordPress-е через API-шку с учётом всех базовых фич: форматирование, теги, категории (на основе тегов), кросс-ссылки на посты, иллюстрации (в т.ч. когда их несколько и когда они идут отдельными сообщениями), встроенные плеер YouTube и кликабельные таймстемпы. Было много подводных камней. Но текущим результатом доволен. 😇

Хотя впереди ещё много задач. Нужно сделать синхронизацию постов полностью автоматической, без подкладывания архива руками. Выяснилось, что через API (telethon) ТГ отдаёт выгрузку в другом формате, чем та, что отдаётся через клиент. 🤷‍♂️🤦‍♂️ Но это решаемо. 🙂