Un problema de seguridad en la última versión de WhatsApp para Windows permite enviar archivos adjuntos en Python y PHP que se ejecutan sin previo aviso cuando el destinatario los abre.
Para que el ataque tenga éxito, es necesario tener instalado Python, un requisito previo que puede limitar los objetivos a desarrolladores de software, investigadores y usuarios avanzados.
El problema es similar al que afectó a Telegram para Windows en abril, que inicialmente fue rechazado pero solucionado más tarde, donde los atacantes podían eludir las advertencias de seguridad y realizar una ejecución remota de código al enviar un archivo .pyzw de Python a través del cliente de mensajería.
WhatsApp bloquea varios tipos de archivos que se consideran riesgosos para los usuarios, pero la empresa dijo que no planea agregar scripts de Python a la lista. Pruebas posteriores realizadas por BleepingComputer muestran que los archivos PHP (.php) tampoco están incluidos en la lista de bloqueo de WhatsApp.
Los scripts de Python y PHP no están bloqueados
El investigador de seguridad Saumyajeet Das encontró la vulnerabilidad mientras experimentaba con tipos de archivos que podrían adjuntarse a las conversaciones de WhatsApp para ver si la aplicación permite alguno de los riesgosos.
Al enviar un archivo potencialmente peligroso, como .EXE, WhatsApp lo muestra y da al destinatario dos opciones: Abrir o Guardar como. Sin embargo, al intentar abrirlo el archivo, WhatsApp para Windows genera un error, lo que deja a los usuarios solo la opción de guardar el archivo en el disco y ejecutarlo desde allí.
En las pruebas, este comportamiento fue consistente con los tipos de archivo .EXE, .COM, .SCR, .BAT y Perl utilizando el cliente de WhatsApp para Windows. Das descubrió que WhatsApp también bloquea la ejecución de .DLL, .HTA y VBS. En todos ellos, se produjo un error al intentar ejecutarlos directamente desde la aplicación haciendo clic en "Abrir". Ejecutarlos solo fue posible después de guardarlos primero en el disco.
En una entrevista, Das dijo que encontró tres tipos de archivos que el cliente de WhatsApp no bloquea: .PYZ (aplicación ZIP de Python), .PYZW (programa PyInstaller) y .EVTX (archivo de registro de eventos de Windows). Las pruebas de BleepingComputer confirmaron que WhatsApp no bloquea la ejecución de archivos Python y descubrieron que lo mismo sucede con los scripts PHP.
Si todos los recursos están presentes, todo lo que el destinatario debe hacer es hacer clic en el botón "Abrir" en el archivo recibido y el script se ejecuta.
Das informó del problema a Meta el 3 de junio y la empresa respondió el 15 de julio diciendo que otro investigador ya había informado del problema y que ya debería haberse solucionado. Cuando el investigador se puso en contacto con BleepingComputer, el error seguía presente en la última versión de WhatsApp para Windows y podíamos reproducirlo en Windows 11, v2.2428.10.0.
BleepingComputer se puso en contacto con WhatsApp para obtener una aclaración sobre el motivo por el que desestimaron el informe del investigador y un portavoz explicó que "no lo consideraban un problema de su parte, por lo que no había planes para solucionarlo".
El representante de la empresa también explicó que WhatsApp tiene un sistema para advertir a los usuarios cuando reciben mensajes de usuarios que no están en sus listas de contactos o que tienen números de teléfono registrados en un país diferente.
Sin embargo, si la cuenta de un usuario es secuestrada, el atacante puede enviar a todos los que están en la lista de contactos scripts maliciosos que son más fáciles de ejecutar directamente desde la aplicación de mensajería. Además, este tipo de archivos adjuntos podrían publicarse en grupos de chat públicos y privados, que podrían ser utilizados de forma abusiva por los actores de amenazas para difundir archivos maliciosos.
FUente: BC