최근에,Tinder 보안팀과 360 취약점 연구소는 공격자가 원격 코드를 실행할 수 있는 WeChat Windows 클라이언트 취약점을 노출하고 성공적으로 재현했습니다.이 취약점은 "디렉터리 탐색" 취약점 체인과 "원격 코드 실행(RCE)"의 조합에 의해 발생하는 것으로 알려져 있습니다. 공격자는 악성파일을 이용하여 사용자가 인지하지 못한 채 원격으로 임의의 코드를 실행함으로써 시스템 제어나 권한 유지 등을 달성할 수 있어 단말 보안에 심각한 영향을 미칠 수 있다.
취약점의 기술적 원리는 WeChat 클라이언트가 채팅 내역 파일 자동 다운로드 처리 시 파일 경로에 대한 충분한 검증 및 필터링을 수행하지 않는다는 것입니다.
공격자는 악성 파일이 포함된 채팅 메시지를 보낼 수 있습니다. 공격을 받은 당사자가 WeChat의 채팅 기록을 클릭하면 악성 파일이 자동으로 다운로드되어 시스템 시작 디렉터리에 복사됩니다.
공격자는 디렉터리 탐색 기술을 사용하여 WeChat의 보안 제한을 우회하고 Windows 시스템의 주요 디렉터리에 악성 코드를 심어 부팅 시 자동 시작을 달성할 수 있습니다.
공격자의 컴퓨터가 다시 시작되면,공격자는 이 파일을 사용하여 피해자 환경에서 임의의 원격 코드를 실행하여 시스템 제어 또는 권한 유지 관리를 달성할 수 있습니다.
이 문제는 WeChat Windows 클라이언트 버전 3.9 이하에서 발생하는 것으로 보고되었습니다. 시간에 맞춰 WeChat 공식 웹사이트에서 최신 버전을 다운로드하여 설치하는 것이 좋습니다.
