Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Criminelen gebruikten Telegram-client voor verspreiding Windows-malware'

Onderzoekers van beveiligingsbedrijf Kaspersky hebben een bug in de Windows-client van de chatapp Telegram ontdekt. Hoofdzakelijk Russische criminelen zouden de inmiddels gefikste bug gebruikt hebben om bijvoorbeeld cryptominingmalware te verspreiden.

Kaspersky vermeldt dat de criminelen een zogenaamde right to left override-aanval gebruikten. Daarbij maakt een aanvaller gebruik van een bepaald unicodekarakter zonder symbool, aangeduid als u+202e, om de tekst die op dat symbool volgt om te draaien. Dat is nuttig om bijvoorbeeld een extensie van een bestand anders te doen lijken dan hij in werkelijkheid is. Kaspersky noemt het voorbeeld van een javascript-bestand 'gnp.js'. Door deze tekst om te draaien, krijg je 'sj.png', waardoor het lijkt dat het om een afbeelding gaat. Hier is ook een langere bestandsnaam van te maken, zoals 'photo-high-resj.png', door het unicode-karakter op de juiste plek in te voegen. Het bestand behoudt echter zijn oorspronkelijke indeling.

In de Telegram-client zou een dergelijk js-bestand echter weergegeven zijn als een afbeelding, schrijft het beveiligingsbedrijf. Een Windows-gebruiker moet bij het openen ervan dan eerst langs een waarschuwing klikken dat de uitgever van het bestand in kwestie niet geverifieerd kan worden, wat bij een afbeelding voor sommige gebruikers argwaan doet ontstaan. Dit soort meldingen kunnen echter ook uit staan. Kaspersky heeft het probleem aan Telegram gemeld en het bedrijf zou het inmiddels hebben opgelost. Het is onduidelijk op welke manier dat is gebeurd.

Als een slachtoffer eenmaal het betreffende bestand had geopend, kon de malware zijn werk doen en een downloader op het systeem plaatsen om kwaadaardige code binnen te halen. Bijvoorbeeld in de vorm van een backdoor, keylogger of een cryptominer. De downloader communiceert met de criminelen via de Telegram-api, aldus Kaspersky. Het bedrijf noemt voorbeelden als een miner voor NiceHash of een Monero-miner. Het meldt verder dat de bug hoofdzakelijk bekend leek te zijn bij Russische criminelen. Het is onduidelijk hoeveel slachtoffers er zijn gemaakt. De aanvallen via deze methode begonnen in maart van vorig jaar.

Update, 16:12: Zoals tweaker Blizz opmerkt, heeft Telegram-ceo Pavel Durov kort op de bevindingen van Kaspersky gereageerd en stelt dat het niet om een echte kwetsbaarheid in Telegram Desktop gaat. Gebruikers zouden immers nog steeds zelf een kwaadaardig bestand moeten openen.

Een 'png'-bestand in de Telegram-client. Via Kaspersky

Door Sander van Voorst

Nieuwsredacteur

13-02-2018 • 15:57

55 Linkedin Google+

Reacties (55)

Wijzig sortering
De reactie vanuit Telegram.

https://t.me/durov/70
https://t.me/durov/71
The Kaspersky antivirus company claimed today they found a “0-day vulnerability on Telegram for Windows”, which affected “1000 users before it was fixed”.

As always, reports from antivirus companies must be taken with a grain of salt, as they tend to exaggerate the severity of their findings to get publicity in mass media. Telegram Geeks, a community of Telegram fans, gave a good explanation of what it really was about:
▶️ Our two cents:

Well, this is not a real vulnerability on Telegram Desktop, no one can remotely take control of your computer or Telegram unless you open a malicius file.

This kind of vulnerability is based on social engineering.

In fact, it was a .js file hidden on a a .png file, this happened thanks to RTL characters.

Windows users must click on the Run dialog in order to install the malware.

So don't worry, unless you opened a malicius file, you have always been safe.

ℹ️ @geeksChannel
In het originele artikel van Kapersky is ook een screenshot van een windows dialoog te zien waar de extentie op dezelfde manier verkeerd getoond wordt.

Ik vind het een beetje raar dat Telegram wordt aangevallen voor deze "bug"[1] terwijl Windows het op dezelfde manier laat zien.

[1] Niet zozeer een bug maar meer het correct weergeven van een tekst met een "force RTL" karakter er in.
In het originele artikel van Kapersky is ook een screenshot van een windows dialoog te zien waar de extentie op dezelfde manier verkeerd getoond wordt.

Ik vind het een beetje raar dat Telegram wordt aangevallen voor deze "bug"[1] terwijl Windows het op dezelfde manier laat zien.

[1] Niet zozeer een bug maar meer het correct weergeven van een tekst met een "force RTL" karakter er in.
Ik ben het met je eens, zo te horen zit dit probleem op Windows-niveau en zouden alle applicaties hier last van moeten hebben. Ik heb geen Windows, dus ik kan het zelf niet testen, maar zou iemand het eens met wat andere applicaties kunnen proberen?

Het is overigens nog een moeilijke vraag wat je nu precies met zo'n RTL-karakter moet doen. Helemaal negeren lijkt me ook niet de juiste oplossing, maar wat moet je dan wel? Af en toe wil ik terug naar de 7-bit ASCII tijd.
Met Telegram Protocol doel je op MTProto voor de encryptie? Dat is al lang en breed als “broken” bestempeld en wordt maar niet opgelost, helaas. Dat zit niet goed in elkaar, maar het achterlijke idee is kennelijk “als er nog geen aanval in de praktijk is ontwikkeld, dan is het geen probleem.”. Die insteling zou je helaas misschien verwachten van luie mensen en bedrijven (ik bedoel, hoelang heeft het geduurd om van SHA-1 af te stappen? Dat begon ook pas vaart te lopen toen een paar jaar na ontdekking van zwaktes een groepje wetenschappers een actieve aanval publiceerde; tot die tijd was het “ach, het is op t moment maar een theoretische zwakte”, maar bijna niemand die zich leek te realiseren dat die publicatie mogelijk niet de eerste actieve aanval was maar dat inlichtingendiensten/(criminele) hackers misschien allang een methode hadden ;)), maar is niet het gedrag dat je van de ontwikkelaar zou mogen verwachten... Zwaktes moeten als het even kan opgelost worden vóór het een probleem wordt. Niet achteraf. Zeker niet als je al afwist van het probleem.

Contests op die premises zijn snake-oil voor PR-doeleinden overigens.

[Reactie gewijzigd door WhatsappHack op 13 februari 2018 18:00]

Oud nieuws, dit is al jaren een probleem.

Zie deze pagina (uit 2011) over hoe de security policy editor te gebruiken om dit soort aanvallen te voorkomen: https://www.ipa.go.jp/sec...ss/201110/E_PR201110.html.

[Reactie gewijzigd door CykoByte op 13 februari 2018 16:56]

Windows gaat hier idd niet goed mee om. Ik heb het even gecheckt:

Bij het hernoemen van Map1.xlsx> Map1.xl krijg ik een melding:
If you want to change a filename extension, the file might become unusable.
Bij het hernoemen naar WorkplaceMap.<character>.xslx krijg ik geen melding, bestand wordt gewoon aangepast zonder waarschuwing en maakt er een "eliF XSLX" van. Het proberen te openen van het bestand lukt niet, aangezien hij het bestandsformaat niet herkent.

De popup die ik krijg is dan ook grappig:
How do you want to open this file?
✔️Always use this app to open .selfi xslx
Waarom die dan van files "selfi" maakt snap ik ook niet, ik had dan toch "selif" verwacht :+

[Reactie gewijzigd door thefal op 13 februari 2018 16:56]

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True