搜狗输入法漏洞微步报告.pdf

330

3页

3次

2024-08-05

免费下载

搜狗输入法漏洞可绕过 Windows 锁屏？

OneSEC 能检测！

近日，网传【搜狗输入法绕过 Windows 锁屏机制】漏洞，经微步验证，该漏洞为真，目前微步终端

EDR 产品 OneSEC 已经支持对该漏洞利用的检测。

该漏洞被验证可以在 Windows 锁屏情况下，直接绕过登录系统，并获得操作系统最高的 System 权

限。结合攻击场景，微步分析，当前该漏洞给企业带来的风险如下：

1.在近源攻击场景下，攻击者可直接本地利用，执行难度低，攻击成功率非常高。

2.在远程攻击场景下：

a)针对外网开放 RDP 的 Windows 机器上，若机器关闭了网络级别身份验证（NLA）机制，攻击

将较易执行成功，否则无法执行。

b)针对内网的机器，远程攻击者需要先拿下内网终端的权限，然后通过 RDP 机制尝试利用该漏

洞来实现横移和提权，整体执行难度增加。且如果被攻击机器了启用了 NLA 机制，攻击将无

法执行。

当前微步已验证的 Windows 操作系统中，均默认开启 NLA 验证，因此无论是针对外网机器还是

内网机器，远程攻击的难度增加。当前已验证的操作系统列表详见附录。

操作系统中网络级别身份验证（NLA）配置如下图所示

当前该漏洞已知影响范围：

搜狗输入法 13.13.0.8820 版本及以上受影响（最新版本 14.7.0.9739 也受影响）。

建议企业：

1.收紧对外 RDP 登录权限，并严格配置 NLA 机制，对此部分机器禁用搜狗输入法；

2.内部机器非必要不开启 RDP，若开启严格配置 NLA 机制；

3.担心近源的企业可限制员工安装存在漏洞的搜狗输入法版本；

4.终端侧应用 EDR 技术，对终端行为进行及时监测，对发现的漏洞利用行为第一时间进行阻断。

关于 OneSEC：

OneSEC 是一个企业办公终端安全轻量级平台，围绕新型威胁和高级威胁，提供全方位的检测、防护

与响应能力。对所有的威胁能精准追溯到进程源头和执行流，帮助安全运营团队真正掌握威胁源头

和威胁影响面，除了传统的“僵木蠕”，还能有效解决目前流行的钓鱼、勒索、供应链攻击、APT 等

新型高级威胁。

of 3

免费下载

关注