点击上方蓝字关注我们
近日,白鼠安全团队和数字观星安全研究人员在野捕获WeChatWeb RCE 0day样本并分析,已在本地成功复现。黑客只需要通过微信发送一个带有恶意脚本的网页链接,用户只要点击链接,微信PC(windows)版进程wechatweb.exe会加载shellcode执行,整个过程无文件落地,无新进程产生,可以直接获取受害者主机权限。
腾讯应急响应中心已发布相关“关于Chrome存在安全问题可能影响Windows版本微信的通告”,但通告中未提及相关漏洞细节。
详情链接:https://mp.weixin.qq.com/s/qAnxwM1Udulj1K3Wn2awVQ
影响版本:微信PC(Windows)< 3.2.1.141
官方链接下载更新最新(Windows 微信PC 3.2.1.143版本)
https://dldir1.qq.com/weixin/Windows/WeChatSetup.exe
本文是白鼠安全团队和数字观星安全研究人员对微信0day漏洞钓鱼攻击的思路探讨。仅作为技术交流,不得利用思路进行违法行为,否则后果自负。
2021年4日13日,国外安全研究员发布了Chrome 远程代码执行 0Day漏洞的POC详情,漏洞为“严重”级别。攻击者利用此漏洞,构造一个恶意的web页面(payload在JS中),用户访问该页面时,会造成远程代码执行。Google Chrome是由Google开发的免费网页浏览器,大量采用Chrome内核的浏览器同样也会受此漏洞影响。
有利用过此POC的同学都知道,漏洞成功触发的前提是需要浏览器关闭沙箱。所以当时很多同学都觉得这个漏洞是鸡肋。以至于一直在探讨如何让受害者通过相对“复杂”的操作主动关闭浏览器沙箱而不起疑心。直到后来发现微信PC版本内置浏览器是Chrome内核,并开启了no-sandbox 。所以当时的微信PC版本内置浏览器天然满足了Chrome 远程代码执行 0Day漏洞所需要的条件,结合钓鱼攻击手法和Cobalt Strike,杀伤力非常大。
为了更好地实施在微信PC版本内置浏览器中的钓鱼攻击,会发现需要解决以下问题:
1、针对与微信PC版本内置浏览器,avboy1337公布的POC无法拿来就用,除了shellcode部分,还有一些地方需要修改和调试。
2、需要利用可信域名来解析恶意的web页面,否则需要用户点击“继续访问”按钮才能访问,增加了交互,提升了失败率。
3、伪装的艺术:除了可以通过聊天话术直接对受害者发送赤裸裸的链接或通过QQ邮箱,企业邮箱发送恶意链接,还可以发送嵌有恶意payload的公众号推文等方式。
微信左下角->更多->设置->通用设置->勾选使用系统默认浏览器
已在Winows版微信PC(3.2.1.141)中临时修复该严重漏洞。
(现可在官方链接下载到最新143版本)
该视频已经过原作者许可,由以下公众号首发
看完还不关注一下
本文始发于微信公众号(Khan安全攻防实验室):Chrome V8 RCE 0day之WeChatWeb
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论