Recentemente,A equipe de segurança do Tinder e o 360 Vulnerability Research Institute expuseram e reproduziram com sucesso uma vulnerabilidade do cliente WeChat Windows que permite que invasores executem código remoto.Entende-se que esta vulnerabilidade é desencadeada por uma combinação de cadeia de vulnerabilidade de “travessia de diretório” e “execução remota de código (RCE)”. Um invasor pode usar arquivos maliciosos para executar remotamente código arbitrário sem o conhecimento do usuário, conseguindo assim o controle do sistema ou a manutenção de permissões, causando um sério impacto na segurança do terminal.
O princípio técnico da vulnerabilidade é que o cliente WeChat não realiza verificação e filtragem suficientes do caminho do arquivo ao processar o download automático de arquivos no histórico de chat.
Um invasor pode enviar uma mensagem de bate-papo contendo um arquivo malicioso. Quando a parte atacada clica no histórico de bate-papo do WeChat, o arquivo malicioso será automaticamente baixado e copiado para o diretório de inicialização do sistema.
Usando a tecnologia de passagem de diretório, os invasores podem contornar as restrições de segurança do WeChat e implantar código malicioso nos principais diretórios do sistema Windows para obter inicialização automática na inicialização.
Quando o computador do invasor for reiniciado,O invasor pode usar esse arquivo para executar código remoto arbitrário no ambiente da vítima, conseguindo assim o controle do sistema ou a manutenção de permissões.
É relatado que esse problema existe no cliente WeChat Windows versão 3.9 e inferior. Recomenda-se baixar a versão mais recente do site oficial do WeChat a tempo e instalá-la.
