Jeśli korzystacie z akcesoriów firmy Razer i macie zainstalowane oprogramowanie Razer Synapse, to musicie wiedzieć, że właśnie odkryto w nim krytyczną lukę bezpieczeństwa. Na szczęście nie ma powodów do panikowania.
Razer Synapse to oprogramowanie, za pomocą którego obsługuje się akcesoria firmy Razer. Mowa o myszkach, klawiaturach czy też słuchawkach. Jeśli z niego korzystacie, to musicie wiedzieć, że jeden z użytkowników Twittera właśnie odkrył lukę bezpieczeństwa, dzięki której łatwo można uzyskać uprawnienia systemowe w Windows 10. Na szczęście nie ma powodów do paniki i nie musicie pozbywać się Razer Synapse ze swojego komputera.
Po podłączeniu klawiatury lub myszki marki Razer Windows 10 automatycznie rozpoczyna pobieranie i instalowanie aplikacji Razer Synapse. Cały proces przebiega z nadanimy uprawnieniami systemowymi. W pewnym momencie oprogramowanie pyta nas o lokalizację folderu, w którym ma zostać zainstalowane. Teraz wystarczy w dowolnym miejscu na dysku kliknąć Shift+prawy przycisk myszki i otworzyć PowerShell. Ten również ma nadane uprawnienia systemowe i pozwala na wpisanie dowolnej komendy, a tym samym zrobienie w systemie praktycznie wszystkiego, w tym także zainstalowanie oprogramowania śledzącego.
Need local admin and have physical access?
— jonhat (@j0nh4t) August 21, 2021
- Plug a Razer mouse (or the dongle)
- Windows Update will download and execute RazerInstaller as SYSTEM
- Abuse elevated Explorer to open Powershell with Shift+Right click
Tried contacting @Razer, but no answers. So here's a freebie pic.twitter.com/xDkl87RCmz
Błąd został odkryty przez użytkownika o pseudonimie jonhat. Podobno skontaktował się on z Razerem, ale firma w żaden sposób mu nie odpowiedziała i dlatego zdecydował się na ujawnienie luki na Twitterze. Dopiero po tym przedstawiciele Razera się z nim skontaktowali i zapewnili, że już pracują nad rozwiązaniem. Dobra informacja jest taka, że tego typu atak wymaga fizycznej obecności i podłączenia myszki lub klawiatury Razer do komputera. Nie da się go przeprowadzić zdalnie. Pomimo tego jest to sytuacja niedopuszczalna. Szkoda, że marka dopiero po czasie zareagowała, ale jak to mówią - lepiej późno niż wcale.
Razer wydał też oświadczenie w tej sprawie:
Zostaliśmy poinformowani o sytuacji, w której nasze oprogramowanie, w bardzo konkretnym przypadku użycia, daje użytkownikowi szerszy dostęp do jego komputera podczas procesu instalacji. Zbadaliśmy ten problem i obecnie wprowadzamy zmiany do aplikacji instalacyjnej, które ograniczą powyższą możliwość zastosowania. Wkrótce udostępnimy zaktualizowaną wersję aplikacji. Korzystanie z naszego oprogramowania (w tym aplikacji instalacyjnej) nie pozwala osobom trzecim na nieautoryzowany dostęp do urządzenia. Dążymy do zapewnienia cyfrowego bezpieczeństwa wszystkich naszych systemów i usług, a jeśli natkniesz się na jakiekolwiek potencjalne błędy, zachęcamy do ich zgłaszania za pośrednictwem naszej usługi (typu bug bunty) Inspectiv.
Zobacz: Piekło zamarzło. Apple zdał sobie sprawę, że jego myszka jest do bani
Zobacz: Xbox pokazał nowe słuchawki dla graczy, które nie kosztują majątku
Źródło zdjęć: Razer
Źródło tekstu: BleepingComputer
