雷蛇(Razer)是一家游戲設(shè)備制造公司，其鼠標(biāo)和鍵盤在國內(nèi)，尤其是在國內(nèi)游戲玩家中享有盛譽(yù)。

當(dāng)把Razer設(shè)備插入Windows 10或Windows 11時(shí)，操作系統(tǒng)將自動(dòng)下載并開始在電腦上安裝Razer Synapse軟件。Razer Synapse是一種允許用戶配置他們的硬件設(shè)備、設(shè)置宏，或映射按鈕的軟件。并且，Razer聲稱在全球有超過1億的用戶使用該軟件。

[[419062]]

然而，安全研究員jonhat在該軟件的安裝中發(fā)現(xiàn)了一個(gè)0day漏洞。該漏洞是一個(gè)本地權(quán)限升級(jí)(LPE)的漏洞，這意味著攻擊者需要有一個(gè)Razer設(shè)備，以及對(duì)電腦的物理訪問。但這同樣表示該漏洞很容易被利用，攻擊者只需花20美元購買一個(gè)Razer鼠標(biāo)，并將其插入Windows 10就可以成為獲取系統(tǒng)權(quán)限。

系統(tǒng)權(quán)限是Windows中的最高用戶權(quán)限，允許在操作系統(tǒng)上執(zhí)行任何命令。從理論上說，如果一個(gè)用戶在Windows中獲得了系統(tǒng)權(quán)限，他就可以完全控制系統(tǒng)，安裝任何他們想要的東西，包括惡意軟件。

漏洞復(fù)現(xiàn)過程

BleepingComputer 通過現(xiàn)有的Razer鼠標(biāo)，對(duì)該漏洞成功進(jìn)行了復(fù)現(xiàn)，他們確認(rèn)了在插入鼠標(biāo)后，大約兩分鐘就可在Windows 10中獲取系統(tǒng)權(quán)限。

為了復(fù)現(xiàn)該漏洞，首先在一臺(tái)Windows 10電腦上創(chuàng)建了一個(gè)臨時(shí)的 "測(cè)試 "用戶，具有標(biāo)準(zhǔn)的、非管理員的權(quán)限，如下圖所示。

在Windows 10中沒有管理權(quán)限的測(cè)試用戶

把Razer設(shè)備插入Windows 10，操作系統(tǒng)自動(dòng)下載并安裝了驅(qū)動(dòng)程序和Razer Synapse軟件。

由于RazerInstaller.exe可執(zhí)行文件是通過一個(gè)以系統(tǒng)權(quán)限運(yùn)行的Windows進(jìn)程啟動(dòng)的，因此Razer安裝程序也獲得了系統(tǒng)權(quán)限，如下圖所示。

RazerInstaller.exe以系統(tǒng)權(quán)限運(yùn)行

當(dāng)Razer Synapse軟件被安裝時(shí)，安裝向?qū)г试S用戶指定想安裝的文件夾。而選擇安裝文件夾的操作是出現(xiàn)漏洞的源頭。

當(dāng)文件夾的位置被改變時(shí)，會(huì)出現(xiàn)一個(gè) “選擇文件夾”的對(duì)話框。當(dāng)按下Shift鍵并右鍵單擊該對(duì)話框，將被提示打開“在此打開PowerShell窗口”。

Razer Synapse的安裝提示

由于這個(gè)PowerShell提示是由一個(gè)具有系統(tǒng)權(quán)限的進(jìn)程啟動(dòng)的，因此該P(yáng)owerShell提示也將擁有相同的權(quán)限。

一旦打開PowerShell提示并輸入 “whoami ”命令，就會(huì)顯示控制臺(tái)具有系統(tǒng)權(quán)限，允許發(fā)布任何想要的命令。

具有系統(tǒng)權(quán)限的PowerShell提示

CERT/CC的漏洞分析師Will Dormann表示，類似的漏洞很可能會(huì)在其他通過Windows即插即用程序安裝的軟件中被發(fā)現(xiàn)。

雷蛇將修復(fù)該漏洞

該0day漏洞在Twitter上得到廣泛關(guān)注之后，雷蛇已經(jīng)聯(lián)系了安全研究員，并且馬上會(huì)發(fā)布修復(fù)方案。

此外，雷蛇還表示盡管該漏洞已經(jīng)被公開披露，但是發(fā)現(xiàn)者jonhat仍將獲得漏洞賞金。

參考：bleepingcomputer