Möjlig riktad attack med 1-klicks RCE i Telegram Desktop. Sammanhang: Jag är måltavla för pågående attacker och använder en isolerad miljö (en virtuell maskin) för att köra skrivbordsversioner av Telegram. Nyligen stötte jag på beteende som indikerar en möjlig användning av en 1-klicks RCE-exploatering. Tidslinje för händelserna: 1. Inledande interaktion: • En kontakt skickade ett meddelande till mig på Telegram. • I Telegrams sidofält (till höger) såg jag att användaren hade sin egen kanal. • Jag gick till den kanalen – allt visades normalt, Telegram betedde sig som förväntat. 2. Efterföljande interaktion: • En tid senare skickade samma användare ett meddelande till mig igen. • Jag märkte att det i sidofältet, istället för det tidigare kanalnamnet, nu fanns etiketten "kanal borttagen". • Detta fångade min uppmärksamhet så pass att jag klickade på den raden (bara för att kontrollera om kanalen verkligen var raderad). • I det ögonblicket startade Telegram Desktop plötsligt om utan någon varning eller felmeddelande. 3. Reaktion: • Omedelbart efter stängde jag av den virtuella maskinen utan att vänta på att se vad som skulle hända härnäst. • Som tur var hade jag säkerhetskopior av mina sessioner och mitt konto, så det blev inga skador. 4. Bekräftelse: • Senare erkände den här användaren direkt för mig att detta var en riktad attack med hjälp av 1-klicks RCE. Jag känner den här användaren och kommunicerar med honom då och då - han är medlem i Conti (Target). Jag övervakar hans kanal. Varje gång tar han bort chatten med mig och är sedan den första som inleder en konversation igen. Detta är inte den första riktade attacken mot mig (hittills misslyckad). Viktiga detaljer: • Jag klickade inte på några externa länkar eller öppnade bilagor. • Den enda åtgärden var att klicka på en raderad Telegram-kanal som visas i sidofältet. • Denna åtgärd utlöste oförutsägbart klientbeteende – en spontan omstart av Telegram Desktop. Slutsats: Det är mycket troligt att en 1-klickssårbarhet utnyttjades relaterad till innehålls- eller metadatahantering associerad med Telegram-kanaler (möjligen i förhandsgranskningen eller kanalens URL-hanterare). Attacken var utformad för att utlösas av en enda användaråtgärd – att klicka på ett modifierat eller falskt Telegram-gränssnittselement.