Chuyên gia an ninh mạng Hiếu PC cảnh báo người dùng Telegram có nguy cơ ‘mất sạch’ dữ liệu khi mở file dạng này
Cụ thể, người dùng Telegram Desktop có thể bị lộ IP chỉ bằng một thao tác nhấp chuột khi tải về tập tin mang định dạng m3u.
Người dùng Telegram phiên bản Desktop đang đối mặt với một lỗ hổng bảo mật nghiêm trọng, cho phép kẻ tấn công thu thập thông tin hệ thống thông qua tập tin có định dạng .m3u. Theo cảnh báo từ cộng đồng an ninh mạng, chỉ cần mở tập tin .m3u gửi qua Telegram, người dùng có thể bị rò rỉ các thông tin nhạy cảm như địa chỉ IP, cổng kết nối (port) và đặc biệt là NTLMv2 hash (mã băm xác thực của Windows) – những dữ liệu quan trọng có thể bị lợi dụng để chiếm quyền truy cập vào hệ thống.
Mặc dù .m3u là một định dạng văn bản thuần chỉ chứa danh sách phát phương tiện (playlist), nhưng trên nền tảng Telegram, khi người dùng mở file này, hệ thống sẽ tự động truy cập vào các liên kết được nhúng bên trong. Các liên kết này có thể dẫn đến máy chủ độc hại do kẻ tấn công kiểm soát. Khi trình phát đa phương tiện của Windows (như Windows Media Player) thực hiện kết nối với máy chủ, thông tin địa chỉ IP cục bộ, cổng kết nối, và thông tin về trình phát sẽ được gửi đi dưới dạng user-agent, làm lộ thông tin nhận diện phần mềm truy cập.
Đặc biệt, kẻ tấn công có thể tận dụng kỹ thuật phản hồi độc hại thông qua giao thức SMB (Server Message Block) – một giao thức chia sẻ tệp và tài nguyên trong mạng Windows – để buộc máy tính của nạn nhân gửi NTLMv2 hash. Đây là mã băm được dùng để xác thực trong các phiên đăng nhập Windows và có thể bị lợi dụng trong các cuộc tấn công "Pass-the-Hash" (PtH). Thay vì yêu cầu mật khẩu gốc, PtH sử dụng mã băm đã lưu trữ của mật khẩu để bắt đầu phiên làm việc, qua đó giúp kẻ tấn công đăng nhập vào hệ thống mà không cần mật khẩu thật.
Với sự phổ biến ngày càng tăng của công nghệ đăng nhập một lần (SSO) để hỗ trợ làm việc từ xa, những kẻ tấn công đã nhanh chóng nhận ra lỗ hổng trong việc lưu trữ mật khẩu và thông tin đăng nhập người dùng. Trong các cuộc tấn công PtH, kẻ tấn công giả mạo là người dùng hợp pháp, điều này khiến cho việc phát hiện ra chúng trở nên vô cùng khó khăn, đặc biệt là đối với các giải pháp an ninh mạng truyền thống, không thể phân biệt giữa người dùng thực và kẻ tấn công.
Cách thức thực hiện cuộc tấn công PtH cơ bản bao gồm hai bước chính: đầu tiên, kẻ tấn công sẽ trích xuất NTLM hash từ máy tính đã bị chiếm quyền, sau đó sử dụng NTLM hash đó để xác thực và truy cập vào máy tính khác.
Trước mối nguy cơ này, chuyên gia an ninh mạng Ngô Minh Hiếu (Hiếu PC) đã lên tiếng cảnh báo người dùng Telegram Desktop không nên mở các file .m3u. Ông nhấn mạnh rằng lỗ hổng này có thể bị khai thác để thu thập NTLMv2 hash và thực hiện các cuộc tấn công nghiêm trọng nhằm chiếm quyền điều khiển hệ thống nội bộ. Cảnh báo này đã được chia sẻ rộng rãi trên các mạng xã hội , kèm theo khuyến cáo người dùng cần hết sức thận trọng với những tập tin lạ gửi qua ứng dụng.
Nếu kẻ tấn công thu được NTLMv2 hash hợp lệ, chúng có thể sử dụng nó để truy cập vào tài khoản hệ thống, đặc biệt nếu nạn nhân là quản trị viên hoặc có quyền truy cập cao trong mạng nội bộ. Từ đó, chúng có thể tiếp tục di chuyển trong hệ thống, thực hiện các cuộc tấn công nâng cao quyền hạn (privilege escalation) và chiếm quyền điều khiển toàn bộ mạng lưới của doanh nghiệp hoặc tổ chức. Các hình ảnh và đoạn mã minh họa POC (proof-of-concept - bằng chứng mô phỏng) cho thấy cơ chế thực thi tấn công, đã được công khai trên kho lưu trữ GitHub.
Trước đây, Telegram cũng đã đưa ra cảnh báo về tập tin .m3u8, cảnh báo rằng "việc mở file này có thể làm lộ địa chỉ IP", nhưng đến nay, định dạng .m3u vẫn chưa được xử lý tương tự khiến cho nguy cơ khai thác vẫn còn tồn tại nếu người dùng không cẩn trọng.
Các chuyên gia khuyến cáo người dùng không nên mở bất kỳ file .m3u nào được gửi qua Telegram Desktop, đặc biệt là trên hệ điều hành Windows, cho đến khi Telegram triển khai cơ chế cảnh báo hoặc vá lỗi. Đối với các tổ chức, việc giám sát lưu lượng mạng là rất quan trọng. Ngoài ra, sử dụng tường lửa để chặn các kết nối không xác định và hạn chế giao thức SMB ra ngoài internet cũng là những biện pháp hữu ích để giảm thiểu rủi ro.
>> Ấn tắt ngay 1 nút này trên iPhone, tránh bị đánh cắp dữ liệu: 99% người dùng không biết!
