漏洞编号:CVE-2023-34312
重要等级:重要
影响范围:QQ 9.7.8.29039 — 9.7.8.29039 TIM 3.4.5.22071 — 3.4.7.22084
原理:腾讯QQ子组件 QQProtect 和 QQProtectEngine.dll 存在任意地址写入安全漏洞,由于 QQProtect.exe 没有ASLR(地址空间布局随机化)保护攻击者可以结合两个漏洞在 QQProtect.exe 进程中加载恶意的 DLL,并获取 NT Authority\SYSTEM shell 且攻击过程几乎无感
组件目录:ProgramFiles(x86)%\Common Files\Tencent\QQProtect\bin
处置建议:建议更新程序到最新版本,阻止该组件将会影响程序通信问题
补充:”Write-What-Where” (WWW) 常用于描述某些类型的漏洞攻击,特别是在操作系统的内存管理中。”Write-What-Where”的字面意思就是“写入什么(Write What),写入何处(Write Where)”。
在一个典型的”Write-What-Where”漏洞中,攻击者可以控制两个关键的因素:
写入内容(What):即攻击者可以控制要写入内存的具体数据。
写入位置(Where):即攻击者可以控制数据写入的内存地址。
攻击者利用这种漏洞,可以修改程序的运行方式,或者破坏系统的内存,从而造成严重的安全问题。这可能导致各种严重的后果,如任意代码执行,权限升级等。
[原文链接]