MADRID, 15 Abr. (Portaltic/EP) –
Telegram ha solucionado una vulnerabilidad crítica en su aplicación de escritorio para Windows que permitía eludir las advertencias de seguridad del sistema al hacer clic en archivos maliciosos y ejecutar ‘scripts’ de Python de forma automática.
Usuarios de la red social X (anteriormente conocida como Twitter) y foros de piratería alertaron sobre una posible falla de ejecución remota de código (RCE) en la versión de escritorio de Telegram para Windows.
Un ataque de RCE permite a un ciberdelincuente ejecutar código malicioso en un dispositivo o red corporativa con el objetivo de instalar ‘malware’ o robar información sensible de los usuarios.
Algunos informes mencionaban un RCE de ‘clic cero’, que no requería la interacción del usuario. Sin embargo, un vídeo circuló mostrando la vulnerabilidad en acción con un usuario haciendo clic en un enlace malicioso.
El vídeo también demostró que Telegram no mostraba advertencias de seguridad al abrir archivos potencialmente peligrosos. La plataforma inicialmente desestimó la existencia de esta vulnerabilidad, calificando el vídeo como un bulo en su cuenta de Twitter.
Posteriormente, se compartió una prueba de concepto del ‘exploit’ en un foro de piratería, destacando un error tipográfico en el código fuente de Telegram para Windows que permitía enviar archivos Python maliciosos con la extensión ‘.pytzw’ sin activar las advertencias de seguridad del sistema.
Esta vulnerabilidad provocaba la ejecución automática del código malicioso, eludiendo las advertencias de Telegram que normalmente se mostrarían. La plataforma confirmó que ha corregido este problema el 9 de abril, evitando que los ‘scripts’ de Python se inicien automáticamente en la aplicación de escritorio para Windows, aunque negó que se tratara de un RCE de ‘clic cero’.
«Se ha implementado una solución a nivel de servidor para evitar la reproducción de este problema en todas las versiones de Telegram para Escritorio», explicó la compañía en un comunicado.
UN ERROR TIPOGRÁFICO
Bleeping Computer sugiere que el origen de esta vulnerabilidad radica en una extensión incorrecta en el repositorio de la aplicación de escritorio de Telegram, que contiene una lista de extensiones de archivos peligrosos como los ejecutables.
Cuando un usuario hace clic en un archivo con una extensión desconocida en Telegram, el sistema operativo decide automáticamente qué programa utilizar para abrirlo. Este comportamiento permitió que se confundiera inicialmente este ataque con uno de ‘clic cero’.
Por otro lado, la instalación de Python para Windows asoció la extensión de archivo ‘.pyzw’ con el ejecutable de Python, lo que permitía ejecutar ‘scripts’ automáticamente al hacer doble clic en el archivo recibido a través de Telegram.
La extensión ‘.pyzw’ se utiliza para ‘zipapps’ de Python, programas autónomos almacenados en archivos ZIP que se consideran peligrosos y se incluyen en la lista de extensiones de archivos de riesgo de Telegram.
Sin embargo, un error tipográfico cambió la extensión de ‘.pyzw’ a ‘.pywz’, lo que provocó que Python ejecutara automáticamente los ‘scripts’ maliciosos sin advertencias de seguridad. Los ciberdelincuentes aprovecharon esto para disfrazar los archivos maliciosos como vídeos y distribuirlos a través de Telegram.