O Razer Synapse é geralmente um software decente, e a empresa fabrica alguns dos melhores mouses para jogos. Apesar disto, o software tem uma nova vulnerabilidade de dia zero que permite a quase qualquer pessoa obter direitos de administrador para um computador simplesmente conectando um mouse ou teclado.
Vulnerabilidade Razer de dia zero
A vulnerabilidade foi descoberta pela primeira vez por um pesquisador de segurança. Jonhat e tornado público no Twitter. Em seguida, foi testado e verificado por Tocando computador. A postagem foi capaz de confirmar que a vulnerabilidade existe.
Tudo que você precisa fazer é conectar um mouse, dongle o teclado razer. A seguir, Windows 10 irá baixar e executar o RazerInstaller como SYSTEM, que concede todos os privilégios. Desde ali, você pode usar o Explorer elevado para abrir o Powershell com um atalho de teclado. Uma vez feito isso, o céu é o limite em termos do que você pode fazer no computador.
Você precisa de um administrador local e tem acesso físico?
– Conecte um mouse Razer (ou o dongle)
– O Windows Update baixará e executará o RazerInstaller como SYSTEM
– Abuso elevado do Explorer para abrir o Powershell com Shift + clique com o botão direitoEu tentei entrar em contato @Razer, mas não há respostas. Então aqui está um presente pic.twitter.com/xDkl87RCmz
– Jonhat (@ j0nh4t) 21 agosto 2021
Aparentemente, esta vulnerabilidade requer que a pessoa esteja fisicamente perto do computador para conectar um periférico Razer, então não é o tipo de ameaça que você deve se preocupar em ser explorado remotamente. Ainda assim, qualquer coisa que possa conceder a uma pessoa não autorizada acesso total a um computador sem permissão deve ser levada a sério e corrigida rapidamente.
O que a Razer está fazendo?
Por sorte, A Razer entrou em contato com o pesquisador que descobriu a vulnerabilidade e mencionou que eles estão trabalhando em uma correção o mais rápido possível.. Com sorte, uma atualização será lançada em breve que resolverá o problema, uma vez que deve ser resolvido antes que muitas pessoas o explorem.
Generosamente, Razer ofereceu uma recompensa ao pesquisador Jonhat, embora ele tenha divulgado publicamente o bug, então a empresa parece agradecer que o bug foi descoberto, permitindo que a Razer o conserte para evitar vulnerabilidades futuras.