Un problema de seguridad en la última versión de WhatsApp para Windows permite
enviar archivos adjuntos en Python y PHP que se ejecutan sin previo aviso
cuando el destinatario los abre.
Para que el ataque tenga éxito, es necesario tener instalado Python, un
requisito previo que puede limitar los objetivos a desarrolladores de
software, investigadores y usuarios avanzados.
El problema es similar al que afectó a Telegram para Windows en abril, que
inicialmente fue rechazado pero solucionado más tarde, donde los atacantes
podían eludir las advertencias de seguridad y realizar una ejecución remota de
código al enviar un archivo .pyzw de Python a través del cliente de
mensajería.
WhatsApp bloquea varios tipos de archivos que se consideran riesgosos para los
usuarios, pero la empresa dijo que no planea agregar scripts de Python
a la lista.
Pruebas posteriores realizadas por BleepingComputer muestran
que los archivos PHP (.php) tampoco están incluidos en la lista de bloqueo de
WhatsApp.
Los scripts de Python y PHP no están bloqueados
El investigador de seguridad Saumyajeet Das encontró la vulnerabilidad
mientras experimentaba con tipos de archivos que podrían adjuntarse a las
conversaciones de WhatsApp para ver si la aplicación permite alguno de los
riesgosos.
Al enviar un archivo potencialmente peligroso, como .EXE, WhatsApp lo muestra
y da al destinatario dos opciones: Abrir o Guardar como. Sin embargo, al
intentar abrirlo el archivo, WhatsApp para Windows genera un error, lo que
deja a los usuarios solo la opción de guardar el archivo en el disco y
ejecutarlo desde allí.
En las pruebas, este comportamiento fue consistente con los tipos de archivo
.EXE, .COM, .SCR, .BAT y Perl utilizando el cliente de WhatsApp para Windows.
Das descubrió que WhatsApp también bloquea la ejecución de .DLL, .HTA y VBS.
En todos ellos, se produjo un error al intentar ejecutarlos directamente desde
la aplicación haciendo clic en «Abrir». Ejecutarlos solo fue posible después
de guardarlos primero en el disco.
En una entrevista, Das dijo que encontró tres tipos de archivos que el cliente
de WhatsApp no bloquea: .PYZ (aplicación ZIP de Python), .PYZW (programa
PyInstaller) y .EVTX (archivo de registro de eventos de Windows). Las pruebas
de BleepingComputer confirmaron que WhatsApp no bloquea la ejecución de
archivos Python y descubrieron que lo mismo sucede con los scripts PHP.
Si todos los recursos están presentes, todo lo que el destinatario debe hacer
es hacer clic en el botón «Abrir» en el archivo recibido y el script se
ejecuta.
Das informó del problema a Meta el 3 de junio y la empresa respondió el 15 de
julio diciendo que otro investigador ya había informado del problema y que ya
debería haberse solucionado. Cuando el investigador se puso en contacto con
BleepingComputer,
el error seguía presente en la última versión de WhatsApp para Windows y
podíamos reproducirlo en Windows 11, v2.2428.10.0.
BleepingComputer se puso en contacto con WhatsApp para obtener una aclaración
sobre el motivo por el que desestimaron el informe del investigador y
un portavoz explicó que
«no lo consideraban un problema de su parte, por lo que no había planes
para solucionarlo».
El representante de la empresa también explicó que WhatsApp tiene un sistema
para advertir a los usuarios cuando reciben mensajes de usuarios que no están
en sus listas de contactos o que tienen números de teléfono registrados en un
país diferente.
Sin embargo, si la cuenta de un usuario es secuestrada, el atacante puede
enviar a todos los que están en la lista de contactos scripts maliciosos que
son más fáciles de ejecutar directamente desde la aplicación de mensajería.
Además, este tipo de archivos adjuntos podrían publicarse en grupos de chat
públicos y privados, que podrían ser utilizados de forma abusiva por los
actores de amenazas para difundir archivos maliciosos.
FUente:
BC