Razer Synapse es de forma general un software decente, y la compañía fabrica algunos de los mejores ratones para juegos. A pesar de esto, el software dispone de una nueva vulnerabilidad de día cero que posibilita que casi cualquier persona obtenga derechos de administrador en una computadora simplemente conectando un mouse o teclado.
Vulnerabilidad de día cero de Razer
La vulnerabilidad fue descubierta por primera vez por un investigador de seguridad. Jonhat y hecho público en Twitter. Después fue probado y verificado por Computadora que suena. La publicación pudo confirmar que la vulnerabilidad existe.
Todo lo que necesita hacer es conectar un mouse, dongle o teclado razer. A continuación, Windows 10 descargará y ejecutará RazerInstaller como SYSTEM, lo que otorga todos los privilegios. Desde allí, puede utilizar el Explorador elevado para abrir Powershell con un atajo de teclado. Una vez realizado esto, el cielo es el límite en términos de lo que puede hacer en la computadora.
¿Necesita un administrador local y tiene acceso físico?
– Conecta un mouse Razer (o el dongle)
– Windows Update descargará y ejecutará RazerInstaller como SYSTEM
– Abuso de Explorer elevado para abrir Powershell con Shift + clic derechoIntenté contactar @Razer, pero no hay respuestas. Por lo tanto aquí tienes un obsequio pic.twitter.com/xDkl87RCmz
– jonhat (@ j0nh4t) 21 de agosto de 2021
Por lo visto, esta vulnerabilidad necesita que la persona esté físicamente cerca de la computadora para conectar un periférico Razer, por lo que no es el tipo de amenaza de la que debe preocuparse por ser explotado de forma remota. Aún así, cualquier cosa que pueda otorgar a una persona no autorizada acceso completo a una computadora sin permiso es algo que debe tomarse en serio y solucionarse rápidamente.
¿Qué está haciendo Razer?
Por suerte, Razer se acercó al investigador que descubrió la vulnerabilidad y mencionó que está trabajando en una solución lo más rápido factible. Con suerte, pronto se lanzará una actualización que resolverá el problema, puesto que debe abordarse antes de que demasiada gente lo explote.
Generosamente, Razer ofreció al investigador jonhat una recompensa pese a que reveló el error públicamente, por lo que la compañía parece estar agradecida de que se haya descubierto el error, lo que le posibilita a Razer solucionarlo para evitar futuras vulnerabilidades.
