«Лаборатория Касперского» обнаружила 0day-уязвимость в Windows-клиенте Telegram
Новости
Злоумышленники использовали 0day-уязвимость в Windows-клиенте Telegram для установки программ-майнеров и доставки бэкдора. Специалист «Лаборатории Касперского» Алекс Фирш обнаружил брешь в октябре, через месяц разработчики Telegram устранили проблему, но к тому времени уязвимость была активна больше полугода.
2К открытий2К показов
Злоумышленники использовали 0day-уязвимость в Windows-клиенте Telegram для установки программ-майнеров и доставки бэкдора. Специалист «Лаборатории Касперского» Алекс Фирш обнаружил брешь в октябре. Через месяц разработчики Telegram устранили проблему, но к тому времени уязвимость была активна больше полугода.
RLO-атака
Уязвимость заключается в особенности поддержки RLO. Right-to-left override — это непечатный символ Unicode для зеркального отражения строк при работе с языками, в которых текст читается справа налево. Злоумышленники вводили в заблуждение пользователей, отправляя под видом изображения исполняемый файл.
На самом деле, имя этого файла photo_high_reU+202Egnp.js, где U+202E — «отражающий» символ Unicode.
Эксплойт
Вредоносный файл не может активироваться сам собой, его должен запустить пользователь. Канал Telegram Geeks относит подобные уязвимости к социальной инженерии — некоторые люди не ожидают подвоха от png-файла и нажимают в появившемся окне «Запустить»:
Только после клика файл JavaScript начинает загружать и устанавливать вредоносные программы.
В основном, злоумышленники без ведома пользователей майнили на их компьютерах криптовалюту: Monero, Zcash и Fantomcoin. Но обнаружены и другие эксплойты: запущенный скрипт устанавливал бэкдор, контролируемый через Telegram API, или другие вредоносные программы.
Сделано в России
Алекс Фирш в отчете, на который ссылается Bleeping Computer, упомянул, что эксплуатация уязвимости зафиксирована только в отношении российских пользователей:
Выяснилось, что только российские киберпреступники знают об этой уязвимости <…> Мы не знаем точно, какие версии Telegram были уязвимы и как долго. Все, что известно, — эксплуатация уязвимости в клиентах Windows началась в марте 2017 года.
Реакция Telegram
Павел Дуров в своем официальном канале опубликовал пост, в котором посетовал на манеру антивирусных компаний создавать шумиху вокруг своей находки и сгущать краски с намерением привлечь внимание прессы:
«Лаборатория Касперского» заявила сегодня, что они нашли «0day-уязвимость в Telegram для Windows», которая затронула «1000 пользователей до того, как она была исправлена». Как всегда, к отчетам антивирусных компаний надо относиться скептически.
2К открытий2К показов
NordPass опубликовала ежегодный рейтинг 200 самых популярных паролей, обнаружив, что миллионы пользователей продолжают использовать простые и уязвимые комбинации, такие как «123456»
Разбираем, чем отличаются WAF и Firewall, как они работают и когда их применять. Простые объяснения для начинающих разработчиков и аналитиков.
Microsoft форкнула Spegel без указания авторства — разработчик узнал об этом на KubeCon, увидев знакомый код под новым именем Peerd
Apple расширила программу Apple Security Bounty, предлагая до $1 млн за обнаружение критических уязвимостей в системе Private Cloud Compute (PCC). Новые инструменты и открытый исходный код позволяют исследователям безопасно анализировать и находить уязвимости, улучшая безопасность технологии