近日,网传【搜狗输入法绕过Windows锁屏机制】漏洞,经微步验证,该漏洞为真,目前微步终端安全管理平台OneSEC已经支持对该漏洞利用的检测。
该漏洞被验证可以在Windows锁屏情况下,直接绕过登录系统,并获得操作系统最高的System权限。结合攻击场景,微步分析,当前该漏洞给企业带来的风险如下:
1. 在近源攻击场景下,攻击者可直接本地利用,执行难度低,攻击成功率非常高。
2. 在远程攻击场景下:
a) 针对外网开放RDP的Windows机器上,若机器关闭了网络级别身份验证(NLA)机制,攻击将较易执行成功,否则无法执行。
b) 针对内网的机器,远程攻击者需要先拿下内网终端的权限,然后通过RDP机制尝试利用该漏洞来实现横移和提权,整体执行难度增加。且如果被攻击机器了启用了NLA机制,攻击将无法执行。
当前微步已验证的Windows操作系统中,均默认开启NLA验证,因此无论是针对外网机器还是内网机器,远程攻击的难度增加。当前已验证的操作系统列表详见文末附录。
操作系统中网络级别身份验证(NLA)配置如下图所示:
当前该漏洞已知影响范围:
截至本文发布时,搜狗输入法13.13.0.8820版本及以上受影响(最新版本14.7.0.9739也受影响)。
建议企业:
收紧对外RDP登录权限,并严格配置NLA机制,对此部分机器禁用搜狗输入法;
内部机器非必要不开启RDP,若开启严格配置NLA机制;
担心近源的企业可限制员工安装存在漏洞的搜狗输入法版本;
终端侧应用EDR技术,对终端行为进行及时监测,对发现的漏洞利用行为第一时间进行阻断。
关于OneSEC
OneSEC是一个企业办公终端安全轻量级平台,围绕新型威胁和高级威胁,提供全方位的检测、防护与响应能力。对所有的威胁能精准追溯到进程源头和执行流,帮助安全运营团队真正掌握威胁源头和威胁影响面,除了传统的“僵木蠕”,还能有效解决目前流行的钓鱼、勒索、供应链攻击、APT等新型高级威胁。
**附录:**目前微步团队验证默认开启NLA机制的Windows操作系统
Windows Server 2022 Datacenter 21H2
Windows Server 2022 Standard 21H2
Windows 10 企业版 22H2
Windows 10 专业版 22H2
Windows 10 教育版 22H2
Windows 11 企业版 23H2
*其他未列举的操作系统尚未验证完成,微步研究响应团队将会持续验证。
- END -
//
微步漏洞情报订阅服务
微步提供漏洞情报订阅服务,精准、高效助力企业漏洞运营:
提供高价值漏洞情报,具备及时、准确、全面和可操作性,帮助企业高效应对漏洞应急与日常运营难题;
可实现对高威胁漏洞提前掌握,以最快的效率解决信息差问题,缩短漏洞运营MTTR;
提供漏洞完整的技术细节,更贴近用户漏洞处置的落地;
将漏洞与威胁事件库、APT组织和黑产团伙攻击大数据、网络空间测绘等结合,对漏洞的实际风险进行持续动态更新。
X漏洞奖励计划
“X漏洞奖励计划”是微步X情报社区推出的一款针对未公开漏洞的奖励计划,我们鼓励白帽子提交挖掘到的0day漏洞,并给予白帽子可观的奖励。我们期望通过该计划与白帽子共同努力,提升0day防御能力,守护数字世界安全。