长亭百川云 - 文章详情

搜狗输入法漏洞可绕过Windows锁屏?OneSEC能检测!

微步情报局

180

2024-08-01

近日,网传【搜狗输入法绕过Windows锁屏机制】漏洞,经微步验证,该漏洞为真,目前微步终端安全管理平台OneSEC已经支持对该漏洞利用的检测。

该漏洞被验证可以在Windows锁屏情况下,直接绕过登录系统,并获得操作系统最高的System权限。结合攻击场景,微步分析,当前该漏洞给企业带来的风险如下:

1. 在近源攻击场景下,攻击者可直接本地利用,执行难度低,攻击成功率非常高。

2. 在远程攻击场景下

a) 针对外网开放RDP的Windows机器上,若机器关闭了网络级别身份验证(NLA)机制,攻击将较易执行成功,否则无法执行。

b) 针对内网的机器,远程攻击者需要先拿下内网终端的权限,然后通过RDP机制尝试利用该漏洞来实现横移和提权,整体执行难度增加。且如果被攻击机器了启用了NLA机制,攻击将无法执行。

当前微步已验证的Windows操作系统中,均默认开启NLA验证,因此无论是针对外网机器还是内网机器,远程攻击的难度增加。当前已验证的操作系统列表详见文末附录。

操作系统中网络级别身份验证(NLA)配置如下图所示:

当前该漏洞已知影响范围:

截至本文发布时,搜狗输入法13.13.0.8820版本及以上受影响(最新版本14.7.0.9739也受影响)。

建议企业:

  1. 收紧对外RDP登录权限,并严格配置NLA机制,对此部分机器禁用搜狗输入法;

  2. 内部机器非必要不开启RDP,若开启严格配置NLA机制;

  3. 担心近源的企业可限制员工安装存在漏洞的搜狗输入法版本;

  4. 终端侧应用EDR技术,对终端行为进行及时监测,对发现的漏洞利用行为第一时间进行阻断。

关于OneSEC

OneSEC是一个企业办公终端安全轻量级平台,围绕新型威胁和高级威胁,提供全方位的检测、防护与响应能力。对所有的威胁能精准追溯到进程源头和执行流,帮助安全运营团队真正掌握威胁源头和威胁影响面,除了传统的“僵木蠕”,还能有效解决目前流行的钓鱼、勒索、供应链攻击、APT等新型高级威胁。

**附录:**目前微步团队验证默认开启NLA机制的Windows操作系统

  • Windows Server 2022 Datacenter 21H2

  • Windows Server 2022 Standard 21H2

  • Windows 10 企业版 22H2

  • Windows 10 专业版 22H2

  • Windows 10 教育版 22H2

  • Windows 11 企业版 23H2

*其他未列举的操作系统尚未验证完成,微步研究响应团队将会持续验证。

- END -

  //  

微步漏洞情报订阅服务

微步提供漏洞情报订阅服务,精准、高效助力企业漏洞运营:

  • 提供高价值漏洞情报,具备及时、准确、全面和可操作性,帮助企业高效应对漏洞应急与日常运营难题;

  • 可实现对高威胁漏洞提前掌握,以最快的效率解决信息差问题,缩短漏洞运营MTTR;

  • 提供漏洞完整的技术细节,更贴近用户漏洞处置的落地;

  • 将漏洞与威胁事件库、APT组织和黑产团伙攻击大数据、网络空间测绘等结合,对漏洞的实际风险进行持续动态更新。

X漏洞奖励计划

“X漏洞奖励计划”是微步X情报社区推出的一款针对未公开漏洞的奖励计划,我们鼓励白帽子提交挖掘到的0day漏洞,并给予白帽子可观的奖励。我们期望通过该计划与白帽子共同努力,提升0day防御能力,守护数字世界安全。

活动详情:https://x.threatbook.com/v5/vulReward

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2