ИБ-исследователь, известный под ником jonhat, обнаружил 0-day уязвимость в Razer Synapse, благодаря которой можно получить права администратора Windows, просто подключив к компьютеру мышь или клавиатуру Razer.
В Twitter эксперт пишет, что он пытался связаться с производителем, однако так и не получил ответа и поэтому решил рассказать о проблеме публично. Стоит отметить, что эксплуатация уязвимости требует физического доступа к целевой машине, то есть проблема относится к типу локального повышения привилегий.
Need local admin and have physical access?
— jonhat (@j0nh4t) August 21, 2021
- Plug a Razer mouse (or the dongle)
- Windows Update will download and execute RazerInstaller as SYSTEM
- Abuse elevated Explorer to open Powershell with Shift+Right click
Tried contacting @Razer, but no answers. So here's a freebie pic.twitter.com/xDkl87RCmz
Дело в том, что при подключении гаджета к Windows 10 или Windows 11 ОС автоматически загрузит и начнет установку драйвера и ПО Razer Synapse, которое позволяет настраивать гаджеты Razer. Поскольку исполняемый файл RazerInstaller.exe запускается с помощью процесса с правами SYSTEM, установщик Razer тоже получает привилегии SYSTEM.
Мастер установки позволяет указать папку, в которую нужно установить ПО, и именно на этом этапе все идет не так. В Twitter jonhat показывает, что когда пользователь хочет изменить папку установки, появляется диалоговое окно «Выбрать папку». Если при этом нажать Shift и кликнуть ПКМ на диалоговое окно, в числе прочего пользователю предложат открыть окно PowerShell. Так как PowerShell запускается процессом с привилегиями SYSTEM, само приложение PowerShell так же унаследует эти привилегии. В итоге потенциальный атакующий получает возможность открыть консоль с привилегиями SYSTEM.
После того как публикация jonhat привлекла внимание ИБ-сообщества, с исследователем связались представители Razer и сообщили, что в ближайшее время подготовят патч. Также специалисту предложили вознаграждение по программе bug bounty, несмотря на тот факт, что он публично раскрыл информацию о проблеме.
I would like to update that I have been reached out by @Razer and ensured that their security team is working on a fix ASAP.
— jonhat (@j0nh4t) August 22, 2021
Their manner of communication has been professional and I have even been offered a bounty even though publicly disclosing this issue.