WhatsApp per Windows: Un Grave Bug Consente l’Esecuzione di codice Python!

Un problema di sicurezza nell’ultima versione di WhatsApp per Windows consente di inviare allegati Python e PHP che vengono eseguiti senza alcun avviso quando il destinatario li apre. Affinché l’attacco abbia successo, è necessario che Python sia installato, un prerequisito che potrebbe limitare gli obiettivi a sviluppatori di software, ricercatori e utenti esperti.

Il problema è simile a quello che ha colpito Telegram per Windows ad aprile, inizialmente respinto ma poi risolto, consentendo agli aggressori di aggirare gli avvisi di sicurezza ed eseguire codice in remoto inviando un file Python .pyzw tramite il client di messaggistica.

WhatsApp blocca diversi tipi di file considerati rischiosi per gli utenti, ma l’azienda ha dichiarato a che non ha intenzione di aggiungere script Python all’elenco. Ulteriori test di BleepingComputer hanno mostrato che anche i file PHP (.php) non sono inclusi nella blocklist di WhatsApp.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Il ricercatore di sicurezza Saumyajeet Das ha scoperto la vulnerabilità mentre sperimentava i tipi di file che potevano essere allegati alle conversazioni WhatsApp per vedere se l’applicazione ne consentiva qualcuno di quelli rischiosi. Quando si invia un file potenzialmente pericoloso, come .EXE, WhatsApp lo mostra e offre al destinatario due opzioni: Apri o Salva con nome.

Tuttavia, quando si tenta di aprire il file, WhatsApp per Windows genera un errore, lasciando agli utenti solo la possibilità di salvare il file sul disco e avviarlo da lì. Nei test di BleepingComputer, questo comportamento era coerente con i tipi di file .EXE, .COM, .SCR, .BAT e Perl che utilizzano il client WhatsApp per Windows. Das ha scoperto che WhatsApp blocca anche l’esecuzione di .DLL, .HTA e VBS.

Per tutti, si è verificato un errore quando si è tentato di avviarli direttamente dall’app cliccando su “Apri”. L’esecuzione era possibile solo dopo averli salvati prima sul disco. Parlando con BleepingComputer, Das ha detto di aver trovato tre tipi di file che il client WhatsApp non blocca dall’avvio: .PYZ (app Python ZIP), .PYZW (programma PyInstaller) e .EVTX (file registro eventi di Windows).

I test di BleepingComputer hanno confermato che WhatsApp non blocca l’esecuzione dei file Python e hanno scoperto che lo stesso accade con gli script PHP. Se tutte le risorse sono presenti, tutto ciò che il destinatario deve fare è cliccare sul pulsante “Apri” sul file ricevuto e lo script verrà eseguito.

Il rapporto del ricercatore e il rifiuto di WhatsApp

Das ha segnalato il problema a Meta il 3 giugno e l’azienda ha risposto il 15 luglio, dicendo che il problema era già stato segnalato da un altro ricercatore. Quando il ricercatore ha contattato BleepingComputer, il bug era ancora presente nell’ultima versione di WhatsApp per Windows e potevamo riprodurlo su Windows 11, v2.2428.10.0.

“Ho segnalato questo problema a Meta tramite il loro programma bug bounty, ma sfortunatamente l’hanno chiuso come N/A. È deludente, perché si tratta di un difetto semplice che potrebbe essere facilmente mitigato”, ha spiegato il ricercatore.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.