查看原文
其他

某社交软件逻辑漏洞,点我消息拿你权限!

CVES实验室 山海之关 2023-08-24

简要

情报群里在传某社交软件逻辑漏洞导致的远程代码执行漏洞情报,我们第一时间进行了复现,确认其影响Windows 9.7.13版本及之前版本,9.9版本则无影响。

此漏洞利用复杂度为0,但危害之大难以用言语形容,攻击者只需发送精心制作的木马程序到群里,由于群不会像1对1聊天那样提示新文件传输,所以攻击者只需要通过回复消息让发送的恶意程序被折叠起来,如下图所示:

受害者点击此信息后就会自动下载并执行恶意程序。

复现过程

我们选择了1对1聊天窗口进行复现展示,而实际使用群聊效果更佳:

更多利用姿势以及漏洞产生原因分析还在研究中,感兴趣的朋友可以先点个关注哦~

CVES实验室

      “CVES实验室”(www.cves.io)由团队旗下SRC组与渗透组合并而成,专注于漏洞挖掘、渗透测试与情报分析等方向。近年来我们报送漏洞总数已达八万余个,其中包含多个部级单位、多个通信运营商、Apache、Nginx、Thinkphp等,获得CNVD证书、CVE编号数百个,在不同规模的攻防演练活动中获奖无数,协助有关部门破获多起省督级别的案件。

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存