Một vấn đề bảo mật trong phiên bản mới nhất của WhatsApp dành cho Windows cho phép gửi các tệp đính kèm Python và PHP, các tệp này sẽ được thực thi mà không có bất kỳ cảnh báo nào khi người nhận mở chúng.
Để cuộc tấn công thành công, Python cần phải được cài đặt, điều kiện tiên quyết này giới hạn mục tiêu bị nhắm đến vào một số nhóm đối tượng nhất định như các nhà phát triển phần mềm, nhà nghiên cứu,...
Vấn đề này tương tự một sự cố ảnh hưởng đến Telegram dành cho Windows vào tháng 4, hiện đã được khắc phục, trong đó kẻ tấn công có thể bỏ qua các cảnh báo bảo mật và thực thi mã từ xa khi gửi tệp Python .pyzw qua ứng dụng nhắn tin.
WhatsApp chặn nhiều loại tệp được cho là có thể gây rủi ro cho người dùng nhưng công ty cho biết rằng họ không có kế hoạch thêm tập lệnh Python vào danh sách này.
Nhà nghiên cứu bảo mật Saumyajeet Das đã phát hiện lỗ hổng bảo mật này khi thử nghiệm các loại tệp có thể đính kèm vào cuộc trò chuyện trên WhatsApp để xem ứng dụng này có cho phép bất kỳ loại tệp rủi ro nào hay không.
Khi gửi một tệp tiềm ẩn nguy hiểm, chẳng hạn như .EXE, WhatsApp sẽ hiển thị tệp đó và cung cấp cho người nhận hai tùy chọn: Mở hoặc Lưu dưới dạng.
Tuy nhiên, khi cố gắng mở tệp, WhatsApp dành cho Windows sẽ báo lỗi, khiến người dùng chỉ còn cách lưu tệp vào ổ đĩa và khởi chạy tệp từ đó.
Trong các thử nghiệm của BleepingComputer, hành vi này được áp dụng với các loại tệp .EXE, .COM, .SCR, .BAT và Perl khi sử dụng ứng dụng WhatsApp dành cho Windows. Das phát hiện ra rằng WhatsApp cũng chặn việc thực thi .DLL, .HTA và VBS.
Các cuộc thử nghiệm của BleepingComputer đã xác nhận rằng WhatsApp không chặn việc thực thi các tệp Python và PHP.
Nếu có đủ tất cả điều kiện cần thiết, người nhận chỉ cần nhấp vào nút "Mở" trên tệp đã nhận, tập lệnh sẽ được thực thi.
Das đã báo cáo vấn đề này với Meta vào ngày 3 tháng 6. Khi nhà nghiên cứu liên hệ với BleepingComputer, lỗi này vẫn còn tồn tại trong bản phát hành WhatsApp mới nhất dành cho Windows, v2.2428.10.0.
WhatsApp giải thích rằng họ không coi đây là vấn đề về phía mình nên không có kế hoạch sửa lỗi.
Đại diện công ty cũng cho biết thêm rằng WhatsApp có hệ thống cảnh báo người dùng khi họ nhận được tin nhắn từ người dùng không có trong danh sách liên lạc hoặc có số điện thoại được đăng ký ở một quốc gia khác.
Tuy nhiên, nếu tài khoản của người dùng bị chiếm đoạt, kẻ tấn công có thể gửi đến mọi người trong danh sách liên lạc các tập lệnh độc hại dễ thực thi trực tiếp từ ứng dụng nhắn tin. Hơn nữa, những loại tệp đính kèm này có thể được đăng lên các nhóm trò chuyện công khai và nhóm riêng, có thể bị kẻ tấn công lợi dụng để phát tán các tệp độc hại.
Nguồn: bleepingcomputer.com.
Tín nhiệm mạng | Progress Software đang kêu gọi người dùng cập nhật phiên bản Telerik Report Server của họ sau khi phát hiện ra lỗ hổng bảo mật nghiêm trọng có thể dẫn đến thực thi mã từ xa.
Tín nhiệm mạng | Các tác nhân đe dọa được gọi là 'Stargazer Goblin' đã tạo ra một dịch vụ phân phối mã độc từ hơn 3.000 tài khoản giả mạo trên GitHub để phát tán phần mềm độc hại đánh cắp thông tin.
Tín nhiệm mạng | Docker đã phát hành bản cập nhật bảo mật để giải quyết lỗ hổng nghiêm trọng ảnh hưởng đến một số phiên bản Docker Engine, có thể cho phép kẻ tấn công vượt qua kiểm tra xác thực của plugin AuthZ trong một số trường hợp nhất định.
Tín nhiệm mạng | Lỗ hổng bảo mật zero-day của Telegram dành cho Android có tên 'EvilVideo' cho phép kẻ tấn công gửi các tệp APK Android độc hại dưới dạng tệp video.
Tín nhiệm mạng | Microsoft đã phát hành một công cụ phục hồi WinPE tùy chỉnh để tìm và xóa bản cập nhật CrowdStrike bị lỗi khiến khoảng 8,5 triệu thiết bị Windows bị sập vào thứ sáu tuần trước.
Tín nhiệm mạng | Những kẻ tấn công đang lợi dụng sự gián đoạn kinh doanh nghiêm trọng do bản cập nhật lỗi của CrowdStrike vào thứ sáu vừa qua để nhắm vào các công ty.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
