Razer Synapse est généralement un logiciel décent, et la société fabrique certaines des meilleures souris de jeu. Malgré cela, le logiciel a une nouvelle vulnérabilité zero-day qui permet à presque tout le monde d'obtenir des droits d'administrateur sur un ordinateur simplement en connectant une souris ou un clavier.
Vulnérabilité Razer zero-day
La vulnérabilité a été découverte pour la première fois par un chercheur en sécurité. Jonhat et rendu public sur Twitter. Il a ensuite été testé et vérifié par L'ordinateur sonne. Le message a pu confirmer que la vulnérabilité existe.
Tout ce que vous avez à faire est de connecter une souris, dongle le clavier razer. Ensuite, Windows 10 téléchargera et exécutera RazerInstaller en tant que SYSTEM, qui accorde tous les privilèges. De là, vous pouvez utiliser l'explorateur élevé pour ouvrir Powershell avec un raccourci clavier. Une fois cela fait, le ciel est la limite en termes de ce que vous pouvez faire sur l'ordinateur.
Avez-vous besoin d'un administrateur local et avez-vous un accès physique?
– Connecter une souris Razer (ou le dongle)
– Windows Update téléchargera et exécutera RazerInstaller en tant que SYSTEM
– Abus d'explorateur élevé pour ouvrir Powershell avec Shift + clic-droitj'ai essayé de contacter @Razer, mais il n'y a pas de réponses. Alors voici un cadeau pic.twitter.com/xDkl87RCmz
– jonhat (@ j0nh4t) 21 août 2021
Apparemment, cette vulnérabilité nécessite que la personne soit physiquement proche de l'ordinateur pour connecter un périphérique Razer, donc pas le type de menace dont vous devriez craindre d'être exploité à distance. Même comme ça, tout ce qui pourrait accorder à une personne non autorisée un accès complet à un ordinateur sans autorisation est quelque chose à prendre au sérieux et à réparer rapidement.
Que fait Razer?
Par chance, Razer a contacté le chercheur qui a découvert la vulnérabilité et a mentionné qu'ils travaillaient sur un correctif le plus rapidement possible.. Avec chance, une mise à jour sera publiée prochainement qui résoudra le problème, car il doit être traité avant que trop de gens l'exploitent.
Généreusement, Razer a offert une récompense au chercheur Jonhat même s'il a publiquement divulgué le bogue, la société semble donc reconnaissante que le bogue ait été découvert, permettant à Razer de le réparer pour éviter de futures vulnérabilités.
