2023 年8月 20 日,赛博昆仑捕获到利用 QQ 桌面客户端远程执行的漏洞该漏洞为逻辑漏洞,攻击者可以利用该漏洞在 QQ 客户端上进行无需用户确认的文件下载执行行为,当用户点击消息链接时,QQ 客户端会自动下载并打开文件最终实现远程代码执行的目的。建议谨慎点击任何消息链接
-
漏洞详情
漏洞名称: QQ 客户端远程代码执行漏洞威胁程度:
该漏洞为逻辑漏洞,利用 QQ 客户端的逻辑缺陷进行攻击,被攻击方在点击消息内容(链接) 时,不会弹窗提示,自动下载执行,在攻击者利用的层面,可降低攻击者钓鱼等攻击手段的难度。处置建议:
1、提示用户谨慎点击消息链接
2、升级或安装终端安全软件,用于检测落盘的文件是否异常漏洞类型: ODay
厂商:腾讯
产品官网链接: https://im.qq.com/pcqq影响范围:QQ Windows 版 9.7.13 及以前版本漏洞所在功能模块:文档传输下载模块漏洞攻击效果:远程代码执行 -
漏洞原理
该漏洞为逻辑漏洞,腾讯 QQ windows 客户端的“文件传输消息”在经过“回复消息”功能处理后,该文件会变为无需任何弹窗确认,点击消息文本后即可自动下载并打开文件的处理方式。 -
漏洞演示
1. 准备一个可执行文件或者批处理,例如 1.bat,将 1.bat 发送给自己,产生一个文件传输消息在聊天窗口中。![QQ客户端远程代码执行漏洞情报速报]( "QQ客户端远程代码执行漏洞情报速报")
2.在聊天窗口中回复该消息,发送给自己
3.转发最后一次发送的消息给目标。
4.目标点击消息内容,即可自动下载并打开文件。此过程中无任何弹窗和提示。
原文始发于微信公众号(雾都的猫):QQ客户端远程代码执行漏洞情报速报
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论