CVE-2026-3000 — 神龙十问 AI 深度分析摘要

🚨 **本质**：允许远程攻击者强制系统下载并执行任意DLL。 💥 **后果**：直接导致 **远程代码执行 (RCE)**，系统完全沦陷。

🔍 **CWE-494**：下载和执行外部可控代码的缺陷。 ⚠️ **缺陷点**：缺乏对远程DLL来源的 **身份验证** 和完整性校验。

🏢 **厂商**：Changing (中国台湾全景)。 💻 **产品**：IDExpert Windows Logon Agent。 📍 **定位**：用于增强Windows登录安全的身份认证客户端。

👑 **权限**：攻击者可获取 **SYSTEM** 或当前用户最高权限。 📂 **数据**：可窃取敏感凭证、植入后门、控制整个Windows主机。

📉 **门槛极低**。 ✅ **无需认证** (PR:N)。 ✅ **无需用户交互** (UI:N)。 ✅ **网络远程** (AV:N)。 🎯 **利用简单** (AC:L)。

🚫 **暂无公开PoC**。 📝 **数据状态**：pocs 列表为空，目前无已知在野利用代码。

🔎 **扫描特征**：检测是否存在 IDExpert Windows Logon Agent 进程。 📂 **文件监控**：关注该组件是否尝试从非信任源加载 DLL。 📋 **日志审计**：检查异常的网络连接和DLL加载行为。

🛡️ **官方已响应**。 📅 **发布时间**：2026-03-02。 🔗 **参考**：厂商官网及 TW-CERT 已发布安全公告，建议立即查阅官方补丁。

🛑 **网络隔离**：限制该组件访问外部网络。 🚫 **禁用服务**：如非必需，暂时停止该登录代理服务。 🔒 **应用白名单**：严格限制 DLL 加载路径，禁止未知来源文件执行。

🔥 **极度紧急**。 📊 **CVSS 9.8**：高危中的高危。 ⚡ **建议**：立即打补丁！这是无需认证的远程执行，攻击面极大，必须优先处理。