Récemment,L'équipe de sécurité Tinder et le 360 Vulnerability Research Institute ont exposé et reproduit avec succès une vulnérabilité du client WeChat Windows qui permet aux attaquants d'exécuter du code à distance.Il est entendu que cette vulnérabilité est déclenchée par une combinaison de chaîne de vulnérabilités « traversée de répertoire » et « exécution de code à distance (RCE) ». Un attaquant peut utiliser des fichiers malveillants pour exécuter à distance du code arbitraire à l'insu de l'utilisateur, obtenant ainsi le contrôle du système ou la maintenance des autorisations, provoquant ainsi un impact sérieux sur la sécurité du terminal.
Le principe technique de la vulnérabilité est que le client WeChat n'effectue pas une vérification et un filtrage suffisants du chemin du fichier lors du traitement du téléchargement automatique des fichiers dans l'historique des discussions.
Un attaquant peut envoyer un message de chat contenant un fichier malveillant. Lorsque la partie attaquée clique sur l'historique des discussions dans WeChat, le fichier malveillant sera automatiquement téléchargé et copié dans le répertoire de démarrage du système.
Grâce à la technologie de traversée de répertoires, les attaquants peuvent contourner les restrictions de sécurité de WeChat et implanter du code malveillant dans les répertoires clés du système Windows pour obtenir un démarrage automatique au démarrage.
Lorsque l'ordinateur de l'attaquant redémarre,L'attaquant peut utiliser ce fichier pour exécuter du code à distance arbitraire sur l'environnement de la victime, obtenant ainsi le contrôle du système ou la maintenance des autorisations.
Il est signalé que ce problème existe dans la version 3.9 et inférieure du client WeChat Windows. Il est recommandé de télécharger à temps la dernière version sur le site officiel de WeChat et de l'installer.
