Razerドライバーのバグにより、Windows管理者権限が誰にでも付与されます

  • PrintNightmareの脆弱性が解消されたので、新しい脆弱性が発生しました。
  • 研究者は、任意のWindowsデバイスで管理者権限を取得するための迅速で巧妙な方法を発見しました。
  • 必要なのはRazerマウスだけで、プラグを差し込んだ後はかなり問題ありません。
  • 同社はこのセキュリティ問題について知らされており、できるだけ早く修正するよう取り組んでいます。
かみそりのマウスのバグ

インターネットに接続されたデバイスに関しては、セキュリティと、外部からの干渉から身を守るために取るべき手順について常に話し合っています。

しかし、脅威が私たちが思っているよりも近い場合、私たちは何をしますか? いいえ、これはジェームズボンドの映画ではありません。悲しいと同時に、ソフトウェアのバグの面白い現実です。

NS PrintNightmare 大失敗は、サードパーティのドライバーをインストールすることによって明らかになった脆弱性にハッカーコミュニティの目を向けました。

他の侵入方法が見つかるまで長くはかからなかったことを私たちは知っています、そして確かに、誰かがすでに Razerワイヤレスを接続するだけで、Windows10の大きく開いたドアを通り抜けることができることを発見しました ドングル。

このバグはあなたに管理者特権を与えます

はい、正しく聞こえました。 RazerデバイスをWindows10またはWindows11マシンに接続すると、オペレーティングシステムが自動的にダウンロードし、インストールを開始します。 RazerSynapseソフトウェア コンピューターで。

この上記のソフトウェアを使用すると、ユーザーはハードウェアデバイスを構成したり、マクロを設定したり、ボタンをマップしたりできます。

ある研究者は、プラグアンドプレイのRazer Synapseインストールにゼロデイ脆弱性があり、ユーザーがWindowsデバイスでシステム特権を非常に高速に取得できることを発見しました。

この場合のガソリンは、RazerがSynapseソフトウェアが世界中で1億人以上のユーザーによって使用されていると主張していることです。

ローカル管理者が必要で、物理的にアクセスできますか?
– Razerマウス(またはドングル)を接続します
– Windows Updateは、RazerInstallerをSYSTEMとしてダウンロードして実行します
–昇格したエクスプローラーを悪用して、Shift +右クリックでPowershellを開きます

連絡してみました @Razer、しかし答えはありません。 だからここに景品があります pic.twitter.com/xDkl87RCmz

— jonhat(@ j0nh4t) 2021年8月21日

ご存知のように、システム権限はWindowsで利用できる最高のユーザー権限であり、誰かがOS上で任意のコマンドを実行できるようにします。

したがって、誰かがWindowsでこれらの高レベルの特権を取得した場合、システムを完全に制御し、マルウェアを含む必要なものをインストールできます。

主な問題は、Windows UpdateがRazerInstallerをシステムとしてダウンロードして実行することと、 インストーラーは、エクスプローラーウィンドウを開いて、インストールする場所を選択する機会をユーザーに提供します。 運転手。

そこから、Shiftキーを押しながら右クリックしてシステム権限でPowershellターミナルを開くのは、たった1つのステップで、ハッカーは基本的に自分のやりたいことを何でもできます。

さらに、侵入者がインストールプロセスを実行し、保存ディレクトリを次のようなユーザーが制御可能なパスに定義する場合 デスクトップ、インストーラーは、永続性のためにハイジャックされる可能性があり、ユーザーがログインする前に実行されるサービスバイナリをそこに保存します ブート。

覚えておくべきもう1つの重要な要素は、USB IDを簡単に複製できるため、攻撃者は実際のRazerマウスさえ必要としないことです。

Razerは、この問題の修正に取り組んでいると述べました

その後、最初、この脆弱性を発見した研究者は、Razerに連絡したが、連絡しなかったと述べました。 応答を受け取ると、巨大なハードウェアメーカーが彼と連絡を取り、この問題について話し合いました さらに。

Razerはまた、脆弱性が公開されていても、バグ報奨金を受け取ることになると語った。

連絡があったことを更新したいと思います @Razer そして、セキュリティチームができるだけ早く修正に取り組んでいることを確認しました。

彼らのコミュニケーションの仕方は専門的であり、この問題を公に開示しているにもかかわらず、私は報奨金さえも提供されてきました。

— jonhat(@ j0nh4t) 2021年8月22日

私たちの誰もがそのような簡単な方法の犠牲者になりたくないので、私たちは皆、この問題がすぐに解決策を見つけることを望んでいます。

ただし、おそらく来週のこの時点までに、RazerとMicrosoftの両方が、この脆弱性を取り除くように設計された修正パッチを提供する予定です。

悪意のある干渉やデータ抽出の犠牲になったことがありますか? 以下のコメントセクションでお知らせください。

Razer BlackWidow Ultimateは、モンスターのメカニカルゲーミングキーボードです。

Razer BlackWidow Ultimateは、モンスターのメカニカルゲーミングキーボードです。メカニカルキーボードRazer

さまざまなPCの問題を修正するには、DriverFixをお勧めします。このソフトウェアは、ドライバーの稼働を維持するため、一般的なコンピューターエラーやハードウェア障害からユーザーを保護します。 3つの簡単なステップで今すぐすべてのドライバーをチェックしてください:DriverFixをダウンロード (検証済みのダウンロードファイル)。 クリック スキャン開始 問題のあるすべてのドライバーを...

続きを読む
Razer Atherisは、優れたバッテリー寿命を備えたラグのないワイヤレスマウスです。

Razer Atherisは、優れたバッテリー寿命を備えたラグのないワイヤレスマウスです。Razerゲームハードウェア

ゲーム商品のトップブランドであるRazerは最近、新しいノートブックワイヤレスマウスを発表しました。 Razer Atheris、それはパフォーマンスと 生産性. マウスには幅広い機能が搭載されており、このカテゴリでトップの競争相手になっています。RazerAtherisの機能効率的なバッテリー使用この技術会社は、RazerAtherisが単3電池1組で約350時間持続できると主張しています...

続きを読む
Razerの期間限定オファーは、最大300ドルの割引をもたらします

Razerの期間限定オファーは、最大300ドルの割引をもたらしますRazer

ブラックフライデーまで新しいゲームハードウェアを手に入れるのが待ちきれない場合は、良いニュースがあります。Razerは実行しています 期間限定オファー それはテーブルに興味深い割引の群れをもたらします。オファーは11月18日に終了しますので、お急ぎください。Razerの期間限定オファーをご覧くださいRazer BladeProがUS $ 2,299からUS $ 1,999で利用可能になりまし...

続きを読む