尊敬的客戶和合作伙伴,我司安全團(tuán)隊(duì)監(jiān)測(cè)到辦公軟件漏洞,現(xiàn)就漏洞情況作出相關(guān)提醒:
漏洞版本號(hào):
V6.3.5-Release.10278702 <=
漏洞觸發(fā)情況:
漏洞基本情況:
我司為保障用戶安全對(duì)全網(wǎng)實(shí)行全天候安全漏洞監(jiān)測(cè)。通過(guò)我司安全漏洞檢測(cè)系統(tǒng)發(fā)現(xiàn)今日,釘釘被爆出RCE遠(yuǎn)程命令執(zhí)行漏洞。
經(jīng)我司安全工程師的分析及測(cè)試,該漏洞讓攻擊者可以利用釘釘發(fā)送攜帶惡意JS腳本的HTML鏈接給受害者,受害者點(diǎn)擊惡意鏈接時(shí)觸發(fā)遠(yuǎn)程命令執(zhí)行漏洞。上圖為遠(yuǎn)程執(zhí)行命令調(diào)用目標(biāo)機(jī)器計(jì)算器功能復(fù)現(xiàn)圖。
在我司安全工程師的進(jìn)一步全仿真模擬安全測(cè)試中,攻擊者可以利用該漏洞完全接管受害者PC電腦,添加惡意用戶,植入遠(yuǎn)程后門(mén)等。
漏洞特征:
攻擊者發(fā)送的鏈接格式固定:
dingtalk: //開(kāi)頭
Pc_slide=true //結(jié)尾
當(dāng)發(fā)現(xiàn)有人發(fā)送類(lèi)似的鏈接時(shí)請(qǐng)謹(jǐn)慎打開(kāi)。
漏洞解決辦法:
點(diǎn)擊頭像,選擇關(guān)于釘釘,版本檢測(cè)以后選擇更新至官方最新版本
規(guī)避措施:
1. 提升安全意識(shí),避免點(diǎn)擊釘釘上發(fā)送來(lái)的不明鏈接。
2. 在收到連接后應(yīng)該仔細(xì)觀察鏈接是否為常見(jiàn)網(wǎng)站或常規(guī)形式。
3. 對(duì)接工作時(shí)記得和同時(shí)做好溝通。
二、向日葵雙版本存在REC遠(yuǎn)程命令執(zhí)行漏洞
漏洞版本:
上海貝銳信息科技股份有限公司 向日葵個(gè)人版for Windows 11.0.0.33 <=
上海貝銳信息科技股份有限公司 向日葵簡(jiǎn)約版 V1.0.1.43315(2021.12)
漏洞詳情:
我司安全漏洞監(jiān)測(cè)系統(tǒng)發(fā)現(xiàn),國(guó)家信息安全漏洞共享平臺(tái)(CNVD)出現(xiàn)關(guān)于向日葵RCE漏洞的敏感信息,國(guó)家漏洞庫(kù)漏洞詳情在如下鏈接中可查看:
http://www.tjdsmy.cn/flaw/show/CNVD-2022-03672
http://www.tjdsmy.cn/flaw/show/CNVD-2022-10270
請(qǐng)藍(lán)隊(duì)云用戶檢查服務(wù)器上是否安裝了向日葵。
解決辦法:
個(gè)人版向日葵軟件升級(jí)至官網(wǎng)最新版本并設(shè)置自動(dòng)更新。
首先做安全設(shè)置將軟件更新修改為自動(dòng)更新,規(guī)避漏洞風(fēng)險(xiǎn)
然后選擇檢查更新并進(jìn)行軟件升級(jí)
由于簡(jiǎn)約版目前官網(wǎng)還是下載到存在漏洞的版本,建議暫時(shí)卸載簡(jiǎn)約版,下載最新版本的個(gè)人版。
售前咨詢
售后咨詢
備案咨詢
二維碼
TOP