Descubierta vulnerabilidad 0-day en la versión para PC de Telegram

Estos días se ha descubierto un nuevo bug de tipo 0-day, es decir, que no estaba documentado y no había remedio contra él, en la plataforma de mensajería instantánea Telegram.

Este bug, o fallo de programación que se encontraba únicamente en la versión de escritorio para PC, permitía al atacante utilizar el hardware del equipo infectado para minar criptomonedas, una operación que está muy de moda y que no es otra cosa que utilizar el poder de procesamiento de un equipo para realizar cálculos matemáticos que reporten dicho tipo de moneda virtual al atacante.

Esta vulnerabilidad ha sido descubierta por la firma de antivirus Kaspersky, la cual ha informado de algo alarmante, y es que esta vulnerabilidad se llevaría explotando desde Marzo del pasado año, es decir se lleva casi un año usando, y se habría utilizado para generar distintos tipos de criptomonedas como Zcash, Moneo y Fantomcoin, monedas menos conocidas y más fáciles de obtener.

Pero lo peligroso de este bug en telegram no es simplemente que se pueda utilizar tu equipo para minar critpomonedas, sino que una vez que hay una puerta trasera abierta, nada puede evitar que se utilice dicha puerta para poder inocular en nuestros equipos otro tipo de software como por ejemplo spyware o cualquier otro tipo de malware permitiéndonos hasta controlar el ordenador infectado.

¿Sigue operativa dicha puerta trasera?

Parece que la gente de Telegram se ha puesto las pilas y ahora mismo la última versión del cliente de mensajería para PC que podemos descargar desde la página oficial ya viene con el parche a esta vulnerabilidad.

¿Cómo funcionaba dicho bug?

Lo que nos permitía este agujero de seguridad era, mediante el comando (U+202E), cambiar el sentido de las letras del nombre del fichero, de esta forma el fichero en cuestión tendría, a ojos el usuario, una extensión diferente a la que realmente tiene, aumentando de esta forma, la probabilidad de que el usuario ejecute el fichero.

Por ejemplo si enviábamos un fichero con dicho comando “presupuesto-*U+202E*xlsx.js” el destinatario realmente visualizaría presupuestojs.xlsx aunque seguiría siendo un fichero javascript que de ejecutarse podría ejecutar en el equipo el código que le hemos enviado.

Ya veis lo fácil que es a día de hoy poder recibir cualquier tipo de ataque, así que como siempre os decimos en ERdC, estad siempre atentos y recordad que el sentido común es el mayor aliado contra los ataques informáticos, así que no abráis ficheros de dudosa procedencia 😉