微信 3.9版本RCE漏洞：风险及OneSEC检测缓解方法（附升级修复步骤）

一、漏洞概况：风险点与影响范围

1. 漏洞原理
   微信 3.9.12.55 及以下版本存在 RCE 漏洞，攻击者发送含恶意文件的聊天记录，用户点击或转发后，恶意文件会被写入系统启动目录。电脑重启时，恶意程序自动执行，攻击者可获取系统控制权（如窃取数据、远程操作等）。
2. 当前状态
   • 官方已于 7 月 19 日 16 时通过服务端拦截相关攻击，漏洞暂无法用于网络攻击，但不排除被绕过的可能；
   • 微信已发布 4.0.6 版本，彻底修复该漏洞，建议所有用户升级。

二、OneSEC 检测与缓解方案

1. 检测规则
   • 规则名称：“利用微信执行代码”，可通过 OneSEC 查看相关告警日志，定位潜在攻击行为。
     
2. 自动响应策略
   • 基于上述检测规则，可创建自动响应策略（如拦截恶意文件、终止异常进程），攻防演练期间开通 MEDR 的客户，由微步 MDR 团队远程监测处置。
     
3. 软件管控
   • 在 OneSEC “软件黑名单” 中配置版本限制，禁止微信 3.9.12.54 及以下版本运行（3.9.12.55 版本风险较低，可根据实际情况限制）。
     

三、必做修复与防范措施

1. 立即升级微信到最新版
   • 访问微信官网（https://pc.weixin.qq.com）下载 4.0.6 版本，覆盖安装后漏洞即修复。
2. 关闭文件自动下载
   • 微信设置中关闭 “自动下载接收的文件”，避免恶意文件静默保存。
3. 警惕陌生内容
   • 不点击 / 转发来源不明的聊天记录、文件（尤其是文档、图片），避免触发漏洞。
4. 检查系统自启动项（低版本用户）
   • 若使用 4.0.6 以下版本，通过 “任务管理器→启动” 查看可疑项，未确认安全前暂不重启电脑（防止恶意程序触发）。

四、漏洞复现

总结