Whatsapp-Sicherheitslücke erlaubt Skript-Ausführung

Eine Sicherheitslücke in der aktuellen Version von WhatsApp für Windows erlaubt das Versenden von Python- und PHP-Anhängen. Wenn der Empfänger diese öffnet, starten die Skripte ohne jede Warnmeldung oder weitere Hinweise automatisch. Damit die Attacke gelingt, muss allerdings Python auf dem Zielgerät installiert sein. Daher sind in erster Linie Softwareentwickler und Poweruser anfällig für diese Sicherheitslücke.

Wie das Nachrichtenportal BleepingComputer berichtet, ähnelt diese Lücke dem im April dieses Jahres aufgetretenen Problem bei Telegram für Windows. Damals konnten Angreifer Sicherheitswarnungen umgehen und Remote-Code ausführen, indem sie Python-Skripte über den Messaging-Client sendeten. WhatsApp blockiert aktuell mehrere Dateitypen bei der Auswahl von Dateianhängen. PHP- und Python-Skripte zählen nicht dazu.

Sicherheitslücke ist Meta bekannt

Entdeckt hatte die Schwachstelle der IT-Sicherheitsexperte Saumyajeet Das. Der Cyber-Security-Forscher hatte mit unterschiedlichen Dateitypen experimentiert, die er an WhatsApp-Chatverläufe anfügte, um zu sehen, welche Dateitypen zugelassen werden und wie sich die Anhänge beim Öffnen verhalten.

In der Regel führt der Versuch, eine angehängte Datei direkt zu öffnen, zu einer Fehlermeldung von WhatsApp für Windows. Benutzer haben dann nur die Möglichkeit, die Anhänge zu speichern. BleepingComputer überprüfte diese Ergebnisse und konnte das Verhalten bei .EXE-, .COM-, .SCR-, .BAT- und Perl-Dateien bestätigen. Ebenso wurden die Ausführung von .DLL-, .HTA- und VBS-Dateitypen blockiert.

Saumyajeet Das fand heraus, dass die Dateitypen .PHP (PHP-Skript), PYZ (Python-ZIP-Executable), .PYZW (PyInstaller-Programm) und EVTX (Windows-Ereignisprotokolldatei) beim Aufruf direkt ohne Nachfrage geöffnet und über die in Windows verknüpfte Applikation beziehungsweise Shell direkt ausgeführt werden. Saumyajeet sieht ein besonders hohes Risiko darin, wenn Anhänge in öffentlichen und privaten Whatsapp-Chatgruppen gepostet werden, wodurch mehrere Empfänger mit den anfälligen Systemvoraussetzungen erreicht würden und das Risiko einer möglichen Schadcode-Übertragung entsprechend hoch ist.

Meta wurde bereits am 3. Juni über den Fehler informiert und antwortete am 15. Juli, dass das Problem bekannt sei und zwischenzeitlich behoben sein müsste. Als Saumyajeet Das seine Ergebnisse BleepingComputer übermittelte, bestand der Fehler in der WhatsApp-Version für Windows jedoch nach wie vor. BleepingComputer konnte den Bug dann ebenfalls unter Windows 11, Version v2.2428.10.0, reproduzieren.

Bislang hat sich Meta zu diesem neuerlichen Bericht über den bekannten Bug nicht geäußert.

(usz)