尊敬的客戶(hù)和合作伙伴，我司安全團隊監測到辦公軟件漏洞，現就漏洞情況作出相關(guān)提醒：

一、釘釘V6.3.5RCE遠程命令執行漏洞

漏洞版本號：

V6.3.5-Release.10278702  <=

漏洞觸發(fā)情況：

漏洞基本情況：

我司為保障用戶(hù)安全對全網(wǎng)實(shí)行全天候安全漏洞監測。通過(guò)我司安全漏洞檢測系統發(fā)現今日，釘釘被爆出RCE遠程命令執行漏洞。

經(jīng)我司安全工程師的分析及測試，該漏洞讓攻擊者可以利用釘釘發(fā)送攜帶惡意JS腳本的HTML鏈接給受害者，受害者點(diǎn)擊惡意鏈接時(shí)觸發(fā)遠程命令執行漏洞。上圖為遠程執行命令調用目標機器計算器功能復現圖。

在我司安全工程師的進(jìn)一步全仿真模擬安全測試中，攻擊者可以利用該漏洞完全接管受害者PC電腦，添加惡意用戶(hù)，植入遠程后門(mén)等。

漏洞特征：

攻擊者發(fā)送的鏈接格式固定：

dingtalk：   //開(kāi)頭

Pc_slide=true    //結尾

當發(fā)現有人發(fā)送類(lèi)似的鏈接時(shí)請謹慎打開(kāi)。

漏洞解決辦法：

點(diǎn)擊頭像，選擇關(guān)于釘釘，版本檢測以后選擇更新至官方最新版本

規避措施：

1. 提升安全意識，避免點(diǎn)擊釘釘上發(fā)送來(lái)的不明鏈接。

2. 在收到連接后應該仔細觀(guān)察鏈接是否為常見(jiàn)網(wǎng)站或常規形式。

3. 對接工作時(shí)記得和同時(shí)做好溝通。

二、向日葵雙版本存在REC遠程命令執行漏洞

漏洞版本：

上海貝銳信息科技股份有限公司 向日葵個(gè)人版for Windows 11.0.0.33 <=

上海貝銳信息科技股份有限公司 向日葵簡(jiǎn)約版 V1.0.1.43315（2021.12）

漏洞詳情：

我司安全漏洞監測系統發(fā)現，國家信息安全漏洞共享平臺（CNVD）出現關(guān)于向日葵RCE漏洞的敏感信息，國家漏洞庫漏洞詳情在如下鏈接中可查看：

http://www.tjdsmy.cn/flaw/show/CNVD-2022-03672

http://www.tjdsmy.cn/flaw/show/CNVD-2022-10270

請藍隊云用戶(hù)檢查服務(wù)器上是否安裝了向日葵。

解決辦法：

個(gè)人版向日葵軟件升級至官網(wǎng)最新版本并設置自動(dòng)更新。

首先做安全設置將軟件更新修改為自動(dòng)更新，規避漏洞風(fēng)險

然后選擇檢查更新并進(jìn)行軟件升級

由于簡(jiǎn)約版目前官網(wǎng)還是下載到存在漏洞的版本，建議暫時(shí)卸載簡(jiǎn)約版，下載最新版本的個(gè)人版。