首頁 > 安全研究 > 安全通報 > 安全通告

騰訊QQ升級漏洞安全通告

發布時間 2019-08-19

? 漏洞編號和級別


CVE編號:暫無,危險級別:嚴重,CVSS分值:官方未評定


影響版本


受影響的版本


QQ(包括TIM、QQ、QQ輕聊版、QQ國際版等等)


漏洞概述


近日,發現一起利用騰訊QQ升級漏洞植入后門病毒的攻擊事件,攻擊者可利用該漏洞下發任意惡意代碼。截止到目前,最新版QQ(包括TIM、QQ、QQ輕聊版、QQ國際版等等)都存在該漏洞。


經分析,該事件中被利用的升級漏洞曾在2015年就被公開披露過(https://www.secpulse.com/archives/29912.html),之后騰訊對該漏洞進行修復并增加了校驗邏輯。但從目前來看,QQ此處升級邏輯仍存在邏輯漏洞。QQ升級程序中僅有一處升級內容校驗,校驗完成后,會下載指定網址中的壓縮包,之后驗證壓縮包MD5,解壓執行壓縮包中的txupd.exe。


QQ升級時會主動向服務器POST投遞某個模塊要求更新,URL如下:http://updatecenter.qq.com/queryselfupdate,如果該會話被劫持,緊接著可以看到一個偽造的回應數據包,該回應包數據包含一個二進制頭,在二進制頭之后依次是:更新的ZIP包下載地址,ZIP包的MD5校驗值,ZIP包大小。被劫持后返回的數據如圖所示:
 


圖中URL  www.baidu.com/abcload/qq.zip (IP:180.101.49.11)下載的是病毒壓縮包“qq.zip”,該壓縮包會被下載到用戶計算機臨時目錄,之后解壓運行名為“txudp.exe”的病毒程序。該病毒為后門病毒,會收集用戶計算機名稱、賬戶名稱、處理器信息、系統版本、MAC地址等信息上傳到C&C服務器作為主機標識,且具備抓取屏幕截圖、執行遠程命令等功能。


攻擊者如果劫持了這個TCP會話,并偽造xml文檔,插入TCP會話,可以造成任意exe文件被下載并執行的后果。


漏洞驗證


暫無POC/EXP


修復建議


騰訊QQ尚未發布公開聲明或補丁修復此問題。


參考鏈接

上一篇 下一篇