快捷搜索:  www.ymwears.cn

腾讯QQ升级破绽预警,平安研究,威胁预警

  ? 破绽编号和级别

  CVE编号:暂无,风险级别:严重,CVSS分值:官方未评定

  ? 影响版本

  受影响的版本

  QQ(包罗TIM、QQ、QQ轻聊版、QQ国际版等等)

  ? 破绽概述

  近日,发明一同应用腾讯QQ升级破绽植入后门病毒的进击工作,进击者可应用该破绽下发任意恶意代码。截止到今朝,最新版QQ(包罗TIM、QQ、QQ轻聊版、QQ国际版等等)都存在该破绽。

  经剖析,该工作中被应用的升级破绽曾在2015年就被地下表露过(https://www.secpulse.com/archives/29912.html),以后腾讯对该破绽停止修复并添加了校验逻辑。但从今朝来看,QQ此处升级逻辑仍存在逻辑破绽。QQ升级依次中唯一一处升级内容校验,校验完成后,会下载指定网址中的压缩包,以后验证压缩包MD5,解压履行压缩包中的txupd.exe。

  QQ升级时会自意向效劳器POST投递某个模块请求更新,URL以下:http://updatecenter.qq.com/queryselfupdate,假设该会话被劫持,紧接着可以看到一个捏造的回应数据包,该回应包数据包罗一个二进制头,在二进制头以后依次是:更新的ZIP包下载地址,ZIP包的MD5校验值,ZIP包大年夜小。被劫持后前去的数据如图所示:

  

  图中URL www.baidu.com/abcload/qq.zip (IP:180.101.49.11)下载的是病毒压缩包“qq.zip”,该压缩包会被下载到用户计算机临时目次,以后解压运转名为“txudp.exe”的病毒依次。该病毒为后门病毒,会汇集用户计算机称号、账户称号、处理器信息、系统版本、MAC地址等信息上传到C&C效劳器作为主机标识,且具有抓取屏幕截图、履行远程敕令等功用。

  进击者假设劫持了这个TCP会话,并捏造xml文档,拔出TCP会话,可以形成任意exe文件被下载并履行的结果。

  ? 破绽验证

  暂无POC/EXP

  ? 修复建议

  腾讯QQ还没有宣布地下声明或补丁修复此后果。

  ? 参考链接

  ? 破绽编号和级别

  CVE编号:CVE-2019-15107,风险级别:高危,CVSS分值:暂无

  ? 影响版本

  受影响的版本

  Webmin 1.920

  ? 破绽概述

  Webmin是一套基于Web的用于类Unix操作系统中的系统办理对象。

  Webmin在重置暗码功用中发清晰明了一个毛病,该毛病许可恶意第三方因为缺少输入验证而履行恶意代码,已知在端口10000上运转,而且影响最新版本1.920,Webmin还没有宣布地下声明或补丁。

  今朝互联网上地下的Webmin至少超越14万个。

  

您可能还会对下面的文章感兴趣: