几天前，就曾有人在X和黑客论坛上提到 Windows 版本的 Telegram 上存在一个远程代码执行漏洞。虽然有些帖子表示该漏洞是一个零点击漏洞，不过演示视频显示有人试图启动 Windows 计算器。Telegram 迅速平息了这些言论，指出他们“无法证实该漏洞存在”，该视频可能是一场欺骗。

然而，第二天，XSS黑客论坛上出现了一个相关的 PoC 利用解释称，Telegram 的 Windows 版本源代码中存在一个拼写错误，可被用于发送 Python .pyzw 文件，被点击时会绕过安全提醒。Python 会自动执行该文件，且不会收到 Telegram 对其它可执行文件做的那样的提醒，而如果该文件中不存在拼写错误则可能会收到类似提醒。

更糟糕的是，该PoC 利用将该 Python 文件伪装成一个共享视频，同时会配有缩略图，诱骗用户点击虚假视频并观看。Telegram 表示，该漏洞虽然是一个零点击漏洞，但他们已在 Windows 版本中修复了该问题，阻止 Python 脚本被点击时自动启动。该修复方案是一个服务器端修复方案。

Telegram 解释称，“在 Telegram 桌面上，存在一个问题可导致用户在将 Python 解释器安装到计算机时点击恶意文件。和之前的报道不同，它并非零点击漏洞，仅影响少量用户：不到0.01%的用户安装了 Python 并使用 Telegram 桌面版相关版本。已应用服务器端修复方案，确保该问题不会再复现，因此所有 Telegram 桌面版（包括老旧版本）均不再有这个问题。”

BleepingComputer 询问 Telegram 如何了解到用户的 Windows 设备上安装了哪些软件，因为这类数据并未在他们的隐私策略中提到。目前暂未收到回复。

该 Telegram 桌面客户端在追踪与风险文件相关联的文件扩展，如可执行的文件。如果有人将其中一种文件类型发送到 Telegram，用户点击了该文件，则Telegram 不会自动在相关程序中启动它，而是会首先给出如下安全提醒：“该文件的扩展是 .exe。它可能会损害您的计算机。您确信想要运行它？”

然而，在Telegram中分享的未知文件类型会自动在 Windows 中启动，让操作系统决定使用什么程序。安装了 Windows 版本的 python 后，它会将 .pyzw 文件扩展和 Python 可执行文件关联，导致文件被双击后，脚本被自动执行。

.pyzw 扩展用于 Python zipapps，即ZIP压缩文件中包含的自包含 Python 程序。Telegram 开发人员发现这些可执行文档类型应当被视作是具有风险的并将其纳入可执行文件扩展中。遗憾的是，当他们添加该扩展时犯了一个拼写错误，将扩展输入为 “pywz” 而不是”pyzw”。因此，当这些文件通过 Telegram 发送并被点击后，如果Windows 设备上安装了 Python，则会被 Python 自动启动。

这就导致攻击者绕过安全提醒并诱骗用户打开文件，在目标 Windows 设备上远程执行代码。为了伪装该文件，研究人员使用一个 Telegram 机器人通过 “video/mp4” 的媒体类型发送该文件，导致 Telegram 将该文件以共享视频的方式显示。如果用户点击该视频并观看，该脚本就会通过Windows 版本的 Python 启动。

BleepingComputer 与网络安全研究员 AabyssZG共同测试了该利用。他们使用老旧版本的 Telegram 接收了 mp4 视频格式的 video.pywz 文件。该文件中包含 Python 代码，可打开命令提示符。然而，当点击视频并观看后，Python 会自动执行该脚本。

研究人员在4月10日将该漏洞报送给 Telegram，后者修改 “data_document_resolver.cpp” 源代码文件中该扩展的拼写，修复了这个漏洞。然而，该修复方案似乎尚未上线，因为点击该文件时，并未出现安全提醒。Telegram 使用了服务器端修复方案，将.untrusted 扩展作为 pyzw文件的后缀。当点击该文件时，Windows 会询问你希望使用哪个程序打开这些文件，而不是自动在 Python 中启动。

Telegram Desktop app的后续版本应该会包含安全提醒，而不仅仅是添加 “.untrusted” 扩展，从而提高该流程的安全性。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~