Несколько дней планировал сделать пост с анализом нашумевшей 0day в телеграме (ZDI-CAN-30207), так как не согласен почти со всеми анализами, что я видел в тг каналах. Бага изначально имела CVSS Score 9.8 и на текущий момент уже была переоценена и имеет Score 7.0. Основной смысл пост уже потерял, так как телеграм прокомментировал ситуацию и в своем сообщении в целом раскрыл всю суть уязвимости.
Но давайте тогда подытожим всю инфу, которую по итогу имеем:
- 🍞Уязвимость в составлении закоррапченых тг-стикеров
- 🍞Тг утверждает, что их сервер не примет используемые в эксплуатации стикеры, поэтому на массы это эксплуатировать нельзя и уязвимость можно эксплуатировать только локально (не обязательно физический доступ к телефону, но видимо нужно иметь какое-то влияние на пользователя)
- 🍞Нужно взаимодействие с пользователем и сложная эксплуатация => нужно заставлять пользователя создать вредоносный стикер или сделать с ним что-то нетривиальное
- 🍞По импакту - это должен быть Account Takeover. На самом деле думаю, что это либо выполнение единичного действия от лица пользователя или добавление себя в сессии жертвы (что в целом ATO, но чуть менее грозно технически звучит)
- 🍞Видел в некоторых анализах, что это RCE на устройстве клиента - даже исходя из CVSS-вектра - это неправда, в таких случаях Scope будет у уязвимости Changed. По той же причине влияния на сервера телеграма тоже нет - влияние уязвимости должно оставаться внутри приложения.
Конечно, тут могут быть неточности с точки зрения составления этой самой CVSS-оценки (люди любят подискутировать на эту тему), но если исходить из предположения, что оценили правильно и телеграм нам не врет, то картина именно такая, как я описал выше
В общем, не делайте странных действий, которые вас просят сделать сомнительные люди и выдыхайте
#slowpoc_analysis #zdi
☠️ Hunt Or Be Hunted
