QQ客户端远程代码执行漏洞情报速报

2023 年8月 20 日，赛博昆仑捕获到利用 QQ 桌面客户端远程执行的漏洞该漏洞为逻辑漏洞，攻击者可以利用该漏洞在 QQ 客户端上进行无需用户确认的文件下载执行行为，当用户点击消息链接时，QQ 客户端会自动下载并打开文件最终实现远程代码执行的目的。建议谨慎点击任何消息链接

1. 漏洞详情
   漏洞名称: QQ 客户端远程代码执行漏洞威胁程度:
   该漏洞为逻辑漏洞，利用 QQ 客户端的逻辑缺陷进行攻击，被攻击方在点击消息内容(链接) 时，不会弹窗提示，自动下载执行，在攻击者利用的层面，可降低攻击者钓鱼等攻击手段的难度。

   处置建议:
   1、提示用户谨慎点击消息链接
   2、升级或安装终端安全软件，用于检测落盘的文件是否异常

   漏洞类型: ODay
   厂商:腾讯
   产品官网链接: https://im.qq.com/pcqq影响范围:QQ Windows 版 9.7.13 及以前版本漏洞所在功能模块:文档传输下载模块漏洞攻击效果:远程代码执行

2. 漏洞原理
   该漏洞为逻辑漏洞，腾讯 QQ windows 客户端的“文件传输消息”在经过“回复消息”功能处理后，该文件会变为无需任何弹窗确认，点击消息文本后即可自动下载并打开文件的处理方式。

3. 漏洞演示
     1. 准备一个可执行文件或者批处理，例如 1.bat，将 1.bat 发送给自己，产生一个文件传输消息在聊天窗口中。
   

2.在聊天窗口中回复该消息，发送给自己

3.转发最后一次发送的消息给目标。

4.目标点击消息内容，即可自动下载并打开文件。此过程中无任何弹窗和提示。

原文始发于微信公众号（雾都的猫）：QQ客户端远程代码执行漏洞情报速报