最近、Tinder セキュリティ チームと 360 脆弱性研究所は、攻撃者がリモート コードを実行できるようにする WeChat Windows クライアントの脆弱性を暴露し、再現することに成功しました。この脆弱性は、「ディレクトリ トラバーサル」脆弱性チェーンと「リモート コード実行 (RCE)」の組み合わせによって引き起こされると考えられています。攻撃者は悪意のあるファイルを利用して、ユーザーが気づかないうちに遠隔から任意のコードを実行することでシステム制御や権限維持を実現し、端末のセキュリティに重大な影響を与える可能性があります。
この脆弱性の技術的原理は、WeChat クライアントがチャット履歴内のファイルの自動ダウンロードを処理する際に、ファイル パスの十分な検証とフィルタリングを実行しないことです。
攻撃者は、悪意のあるファイルを含むチャット メッセージを送信する可能性があります。攻撃された当事者が WeChat のチャット履歴をクリックすると、悪意のあるファイルが自動的にダウンロードされ、システムの起動ディレクトリにコピーされます。
ディレクトリ トラバーサル テクノロジを使用すると、攻撃者は WeChat のセキュリティ制限を回避し、Windows システムの主要なディレクトリに悪意のあるコードを埋め込み、起動時の自動起動を実現できます。
攻撃者のコンピュータが再起動すると、攻撃者はこのファイルを使用して被害環境上で任意のリモート コードを実行し、システム制御や権限の維持を達成することができます。
この問題は WeChat Windows クライアント バージョン 3.9 以前に存在すると報告されています。時間内に WeChat 公式 Web サイトから最新バージョンをダウンロードしてインストールすることをお勧めします。
