Telegram تصلح تطبيق Windows Zero-day المستخدم لتشغيل البرامج النصية لـ Python
تاريخ النشر: 14th, April 2024 GMT
قامت Telegram بإصلاح ثغرة يوم صفر في تطبيق سطح المكتب الخاص بنظام Windows والتي يمكن استخدامها لتجاوز التحذيرات الأمنية وتشغيل برامج Python النصية تلقائيًا.
خلال الأيام القليلة الماضية، انتشرت شائعات على X ومنتديات القرصنة حول ثغرة أمنية مزعومة في تنفيذ التعليمات البرمجية عن بعد في Telegram لنظام التشغيل Windows.
في حين أن بعض هذه المنشورات زعمت أنها كانت عيبًا في النقر الصفري، فإن مقاطع الفيديو التي توضح تجاوز التحذير الأمني المزعوم وثغرة RCE تظهر بوضوح شخصًا ينقر على الوسائط المشتركة لتشغيل الآلة الحاسبة التي تعمل بنظام Windows.
وسرعان ما عارضت Telegram هذه الادعاءات، قائلة إنها "لا تستطيع تأكيد وجود مثل هذه الثغرة الأمنية" وأن الفيديو من المحتمل أن يكون خدعة.
ومع ذلك، في اليوم التالي، تمت مشاركة دليل على استغلال المفهوم في منتدى اختراق XSS موضحًا أنه يمكن استغلال خطأ مطبعي في التعليمات البرمجية المصدر لـ Telegram لنظام التشغيل Windows لإرسال ملفات Python .pyzw التي تتجاوز التحذيرات الأمنية عند النقر عليها.
تسبب هذا في تنفيذ الملف تلقائيًا بواسطة Python دون تحذير من Telegram كما هو الحال مع الملفات التنفيذية الأخرى، وكان من المفترض أن يتم ذلك مع هذا الملف إذا لم يكن هناك خطأ مطبعي.
ومما زاد الطين بلة، أن إثبات المفهوم أدى إلى إخفاء ملف بايثون على هيئة فيديو مشترك، إلى جانب صورة مصغرة، يمكن استخدامها لخداع المستخدمين للنقر على الفيديو المزيف لمشاهدته.
في بيان لـ BleepingComputer، اعترضت Telegram بحق على أن الخطأ كان عيبًا في النقر الصفري، لكنها أكدت أنها أصلحت "المشكلة" في Telegram لنظام التشغيل Windows لمنع تشغيل البرامج النصية لـ Python تلقائيًا عند النقر عليها. كان هذا إصلاحًا من جانب الخادم، وهو ما سنشرحه في القسم التالي
"الشائعات حول وجود ثغرات أمنية في Telegram Desktop غير دقيقة. وأوصى بعض "الخبراء" بـ "تعطيل التنزيلات التلقائية" على Telegram - لم تكن هناك مشكلات يمكن أن تنشأ عن التنزيلات التلقائية.
ومع ذلك، على Telegram Desktop، كانت هناك مشكلة تتطلب من المستخدم النقر فوق ملف ضار أثناء تثبيت مترجم Python على جهاز الكمبيوتر الخاص به. وخلافًا للتقارير السابقة، لم تكن هذه ثغرة أمنية عند النقر صفر ويمكن أن تؤثر فقط على جزء صغير من قاعدة المستخدمين لدينا: أقل من 0.01% من مستخدمينا لديهم لغة Python مثبتة ويستخدمون الإصدار ذي الصلة من Telegram for Desktop.
تم تطبيق إصلاح من جانب الخادم للتأكد من أن هذه المشكلة لم تعد تتكرر، لذلك لم تعد جميع إصدارات Telegram Desktop (بما في ذلك جميع الإصدارات القديمة) تعاني من هذه المشكلة.
سأل BleepingComputer Telegram عن كيفية معرفة البرامج المثبتة على أجهزة Windows الخاصة بالمستخدم، حيث لم يتم ذكر هذا النوع من البيانات في سياسة الخصوصية الخاصة بهم.
يقوم عميل Telegram Desktop بتتبع قائمة امتدادات الملفات المرتبطة بالملفات الخطرة، مثل الملفات القابلة للتنفيذ.
عندما يرسل شخص ما أحد أنواع الملفات هذه في Telegram، وينقر المستخدم على الملف، بدلاً من التشغيل تلقائيًا في البرنامج المرتبط في Windows، يعرض Telegram أولاً التحذير الأمني التالي.
"يحتوي هذا الملف على الامتداد .exe. وقد يضر جهاز الكمبيوتر الخاص بك. هل أنت متأكد من أنك تريد تشغيله؟"، كما جاء في تحذير Telegram.
ومع ذلك، سيتم تشغيل أنواع الملفات غير المعروفة المشتركة في Telegram تلقائيًا في نظام التشغيل Windows، مما يسمح لنظام التشغيل بتحديد البرنامج الذي سيتم استخدامه.
عندما يتم تثبيت Python لنظام التشغيل Windows، فإنه سيتم ربط امتداد الملف .pyzw مع ملف Python القابل للتنفيذ، مما يجعل Python ينفذ البرامج النصية تلقائيًا عند النقر المزدوج على الملف.
الامتداد .pyzw مخصص لـ Python zipapps، وهي برامج Python قائمة بذاتها ومضمنة في أرشيفات ZIP.
كان مطورو Telegram يدركون أن هذه الأنواع من الملفات التنفيذية يجب اعتبارها محفوفة بالمخاطر وأضفوها إلى قائمة امتدادات الملفات القابلة للتنفيذ.
لسوء الحظ، عندما أضافوا الامتداد، ارتكبوا خطأً مطبعيًا، حيث أدخلوا الامتداد باسم "pywz" بدلاً من التهجئة الصحيحة لـ "pyzw".
عندما يتم إرسال هذه الملفات عبر Telegram والنقر عليها، يتم تشغيلها تلقائيًا بواسطة Python إذا تم تثبيتها على نظام Windows.
يسمح هذا بشكل فعال للمهاجمين بتجاوز التحذيرات الأمنية وتنفيذ التعليمات البرمجية عن بعد على جهاز Windows الخاص بالهدف إذا تمكنوا من خداعهم لفتح الملف.
لإخفاء الملف، ابتكر الباحثون استخدام روبوت Telegram لإرسال الملف بنوع mime "video/mp4"، مما يجعل Telegram يعرض الملف كفيديو مشترك.
إذا قام المستخدم بالنقر فوق الفيديو لمشاهدته، فسيتم تشغيل البرنامج النصي تلقائيًا من خلال Python لنظام التشغيل Windows.
المصدر: بوابة الوفد
كلمات دلالية: لنظام التشغیل Windows تلقائی ا فی Telegram
إقرأ أيضاً:
الصبيحي يدعو إلى لملمة إنفاقات الضمان على برامج “كورونا” وتقييمها واسترداها !
#سواليف
كتب موسى الصبيحي دعوت سابقاً إلى ضرورة تقييم كافة البرامج التي أطلقتها مؤسسة الضمان الاجتماعي لتخفيف الآثار الاقتصادية والاجتماعية على الأفراد والمنشآت خلال فترة جائحة كورونا، وكنت على يقين بأن بعض هذه البرامج لم تكن مدروسة بعناية، وقد تمّ تحميل المؤسسة أعباءَ مالية كبيرة، تعدّت دورها بشكل واضح وتجاوزت على القانون الذي أوقفت أوامر الدفاع العمل ببعض مواده.
هناك رقم منشور وليس نهائي يشير إلى أن إنفاقات الضمان على هذه البرامج بلغت (705.744.773) ديناراً (سبعمائة وخمسة ملايين وسبعمائة وأربعة وأربعون ألفاً وسبعمائة وثلاثة وسبعون ديناراً). وكان هذا الرقم حتى تاريخ 8-8-2022، وتبعه إنفاقات أخرى لاحقاً في بعض البرامج الممتدة لما بعد هذا التاريخ، وكان تقديري الذي نشرته غير مرّة لإنفاقات الضمان الإجمالية أنها وصلت إلى حوالي ( 850 ) مليون دينار، ما بين إنفاقات مُستردّة وغير مستردّة وفقاً للبرامج التي تم إطلاقها تباعاً.
من المهم اليوم بعد مرور سنتين ونصف تقريباً على انتهاء الجائحة، أن تعيد مؤسسة الضمان تقييم برامجها وإحصاء إنفاقاتها بشكل دقيق للغاية، ما بين إنفاقات مستردّة وإنفاقات غير مستردّة (تبرع)، وكذلك المبالغ التي تم صرفها دون وجه حق لمنشآت وقطاعات لم تكن تستحقها، وحاولت الالتفاف على بعض البرامج واستغلالها استغلالاً بشعاً فصُرِفت لها مبالغ مالية ببضعة ملايين دون وجه حق.!
مقالات ذات صلةلا يجوز أن يقبع مجلس إدارة المؤسسة العامة للضمان الاجتماعي دون أن يقدّم تقريراً شاملاً عن كل ما ذكرت ويتم نشره للرأي العام، فأموال المؤسسة هي أموال العمال، وما قامت به المؤسسة عبر البرامج المشار إليها من مساعدة للناس من مؤمّن عليهم ومنشآت وغيرهم هي من أموال هؤلاء العمّال والمشتركين، فقد ساعدت الحكومة عبر الضمان الناس من أموال الناس، ولم تتحمّل هي أي كلفة، وكان من المفترض أن تساهم كما ساهمت كل الحكومات في العالم بدعم الناس ومساعدتهم من أموال الخزينة العامة، وما حصل في معظم الدول التي ساعدت من خلال مؤسسات وبرامج الضمان الاجتماعي أنها ضخّت الكثير من الأموال في صناديق مؤسسات الضمان لتمكينها من القيام بدور فاعل في المساعدة وتثبيت الأفراد والمؤسسات ورفع قدراتهم على الصمود وتحمّل آثار الجائحة.
أطالب للمرة الخامسة، مُحمّلاً مجلس إدارة مؤسسة الضمان المسؤولية، بضرورة نشر تقرير تفصيلي واضح وشفّاف بكل تفاصيل ونتائج البرامج التي أطلقتها مؤسسة الضمان بالتنسيق التام مع الحكومتين السابقتين، وإيضاح كافة الكُلَف والصرفيات المدفوعة من قبل مؤسسة الضمان بما في ذلك الإنفاقات التي انحرفت عن مسار وأهداف بعض البرامج، وتلك التي صُرفت دون وجه حق، وتلك التي تم التبرّع بها من أموال المؤسسة تجاوزاً على أموال الضمان.
كما أطالب بوضع آلية واضحة لاسترداد كل دينار تم صرفه من أموال الضمان دون وجه حق.؟!
"الصحة الفلسطينية": الاحتلال يواصل ارتكاب المجازر بحق شعبنا في غزة