SK-CERT Bezpečnostné varovanie V20240723-01

Dôležitosť Kritická
Klasifikácia Neutajované/TLP:CLEAR
CVSS Skóre
9.6
Identifikátor
Telegram – kritická bezpečnostná zraniteľnosť
Popis
Spoločnosť Telegram Messenger Inc. vydala bezpečnostnú aktualizáciu na svoj produkt Telegram pre Android, ktorá opravuje kritickú bezpečnostnú zraniteľnosť.
Kritická bezpečnostná zraniteľnosť spočíva v nedostatočnej implementácii bezpečnostných mechanizmov a umožňuje vzdialenému, neautentifikovanému útočníkovi prostredníctvom podvrhnutia špeciálne vytvorených súborov vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému.
Zraniteľnosť umožňuje v Android verzii aplikácie maskovať špeciálne vytvorené .APK súbory ako videá (v predvolenej konfigurácii takýto súbor aplikácia automaticky stiahne už pri zobrazení súboru v konverzácii).
Zneužitie zraniteľnosti vyžaduje interakciu zo strany používateľa. Samotné zneužitie je inicované otvorením konverzácie a spustením videa, ktoré je v skutočnosti podvrhnutým .APK súborom. Nasleduje zobrazenie vyskakovacieho okna, ktoré používateľa vyzve na prehranie súboru pomocou externej aplikácie. V prípade, že vo Vašom zariadení Telegram nemá povolenie inštalovať neznáme aplikácie, budete požiadaní o udelenie tohto oprávnenia. Po udelení povolenia aplikácia používateľa vyzve k inštalácii dodatočného modulu. Po odsúhlasení je do zariadenia nainštalovaný škodlivý kód.
Na uvedenú zraniteľnosť je v súčasnosti voľne dostupný Proof-of-Concept kód.
Zraniteľnosť je v súčasnosti aktívne zneužívaná útočníkmi.
Dátum prvého zverejnenia varovania
22.7.2024
CVE
Bezpečnostná zraniteľnosť nemá pridelený identifikátor CVE.
IOC
SHA-1
F159886DCF9021F41EAA2B0641A758C4F0C4033D
Názov súboru
Teating.apk
IP
183.83.172[.]232
Doména
infinityhackscharan.ddns[.]net
Zasiahnuté systémy
Telegram pre Android vo verzii staršej ako 10.14.5
Následky
Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému
Odporúčania
Administrátorom a používateľom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov.
Po odstránení zraniteľností, ktoré mohli spôsobiť získanie prístupu k citlivým údajom alebo vzdialené vykonanie kódu, je dobrou praxou zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč.
Taktiež odporúčame poučiť používateľov, aby neotvárali neoverené e-mailové správy, prílohy z neznámych zdrojov a nenavštevovali nedôveryhodné webové stránky.
Používateľom tiež odporúčame revíziu nainštalovaných aplikácií a im pridelených oprávnení ako aj preverenie všetkých dostupných logov na prítomnosť IOC a pokusov o zneužitie zraniteľnosti.
Zdroje
https://www.eset.com/int/about/newsroom/press-releases/research/eset-research-discovers-evilvideo-telegram-app-for-android-targeted-by-zero-day-exploit-sending-malicious-videos/
https://www.welivesecurity.com/en/eset-research/cursed-tapes-exploiting-evilvideo-vulnerability-telegram-android/
https://github.com/eset/malware-ioc/tree/master/evilvideo

« Späť na zoznam