大工网安告[2024]014

一、 情况分析

搜狗输入法是一款由搜狗公司开发的输入法软件，‌支持多种平台和设备，‌包括Android、‌iPhone等移动设备，‌以及PC端。‌它采用了搜索引擎技术，‌旨在提供更高效、‌智能的输入体验。

近日，搜狗输入法远程命令执行漏洞，Windows处于锁屏状态下，切换至搜狗输入法，调出屏幕键盘，通过拖动屏幕键盘两次或者右击从而进入输入法菜单的游戏中心，通过下载功能另存为的对话框即可在Windows搜索框输入cmd进入命令行执行命令。鉴于该漏洞影响范围较大，建议大家尽快做好自查及防护。

威胁类型：登录权限绕过。

技术类型：命令执行。

利用条件：要求该主机处于联网状态。

危害描述：在Windows锁屏状态下，可绕过系统登录密码，调用cmd执行任意命令。

二、 影响版本

win10、win11均受其影响

目前，已成功复现搜狗远程命令执行漏洞，截图如下：

此时可执行任意与登录后无异的命令，甚至可下载恶意脚本文件

三、 处置建议

1、缓解措施：

暂时隐藏搜狗输入法状态栏，个人终端请关闭mstsc远程连接，服务器资产请修改远程链接默认端口3389或卸载搜狗输入法。

2、目前官方已有可更新版本，建议受影响用户升级至最新版本：https://shurufa.sogou.com/