هجوم مستهدف محتمل باستخدام RCE بنقرة واحدة في Telegram Desktop. سياق: أنا هدف للهجمات المستمرة وأستخدم بيئة معزولة (جهاز افتراضي) لتشغيل إصدارات سطح المكتب من Telegram. في الآونة الأخيرة ، واجهت سلوكا يشير إلى استخدام محتمل لاستغلال RCE بنقرة واحدة. الجدول الزمني للأحداث: 1. التفاعل الأولي: • أرسل لي أحد جهات الاتصال رسالة على Telegram. • في الشريط الجانبي Telegram (على اليمين) ، رأيت أن المستخدم لديه قناته الخاصة. • ذهبت إلى تلك القناة - كل شيء معروض بشكل طبيعي ، تصرف Telegram كما هو متوقع. 2. التفاعل اللاحق: • بعد مرور بعض الوقت ، أرسل لي نفس المستخدم رسالة مرة أخرى. • لاحظت أنه في الشريط الجانبي ، بدلا من اسم القناة السابق ، كان هناك الآن تسمية "تم حذف القناة". • لفت هذا انتباهي بدرجة كافية لدرجة أنني نقرت على هذا السطر (فقط للتحقق مما إذا كانت القناة قد تم حذفها بالفعل). • في تلك اللحظة ، أعيد تشغيل Telegram Desktop فجأة دون أي تحذير أو رسالة خطأ. 3. رد الفعل: • بعد ذلك مباشرة ، أغلقت الجهاز الظاهري دون انتظار رؤية ما سيحدث بعد ذلك. • لحسن الحظ ، كان لدي نسخ احتياطية من جلساتي وحسابي ، لذلك لم يكن هناك ضرر. 4. التأكيد: • في وقت لاحق ، اعترف لي هذا المستخدم مباشرة أن هذا كان هجوما مستهدفا باستخدام نقرة واحدة RCE. أعرف هذا المستخدم وأتواصل معه من وقت لآخر - إنه عضو في Conti (Target). أراقب قناته. في كل مرة ، يحذف الدردشة معي ثم يكون أول من يبدأ محادثة مرة أخرى. هذا ليس أول هجوم مستهدف علي (غير ناجح حتى الآن). تفاصيل مهمة: • لم أنقر على أي روابط خارجية أو أفتح المرفقات. • كان الإجراء الوحيد هو النقر على قناة Telegram المحذوفة المعروضة في الشريط الجانبي. • أدى هذا الإجراء إلى سلوك عميل لا يمكن التنبؤ به - إعادة تشغيل تلقائية لسطح مكتب تيليجرام. استنتاج: من المحتمل جدا أن تكون ثغرة أمنية بنقرة واحدة قد تم استغلالها فيما يتعلق بمعالجة المحتوى أو البيانات الوصفية المرتبطة بقنوات Telegram (ربما في معاينة أو معالج عنوان URL للقناة). تم تصميم الهجوم لتشغيل إجراء مستخدم واحد - النقر فوق عنصر واجهة Telegram معدل أو مزيف.