安全研究人員 jonhat 剛剛在即插即用的 Razer Synapse 軟件中發(fā)現(xiàn)了一個(gè)零日漏洞，可怕之處在于能夠讓用戶在 Windows 設(shè)備上快速獲得 SYSTEM 級(jí)別的管理員賬戶權(quán)限。作為一家知名的游戲外設(shè)制造商，Razer 官方宣稱該軟件有被全球超過(guò) 1 億用戶所使用。

[[419055]]

在將 RAZER外設(shè)插入Windows10 / 11 設(shè)備時(shí)，操作系統(tǒng)會(huì)自動(dòng)下載并安裝 Razer Synapse 軟件，以便用戶輕松設(shè)置驅(qū)動(dòng)程序、配置宏或映射按鍵。

另一方面，SYSTEM 是 Windows 操作系統(tǒng)中設(shè)定的最高權(quán)限，允許用戶在系統(tǒng)上執(zhí)行任何命令。若權(quán)限配置不當(dāng)，很容易導(dǎo)致惡意軟件對(duì)系統(tǒng)造成破壞。

A video demonstration of the Razer Synapse vulnerability(via)

由于未能及時(shí)收到 Razer 方面的答復(fù)，@j0nh4t 最終于昨日在 Twitter 上披露了這一零日漏洞，并且在一段時(shí)長(zhǎng) 1 分 23 秒的視頻中，演示了該漏洞的工作原理。

Bleeping Computer利用手頭的 Razer 鼠標(biāo)進(jìn)行了驗(yàn)證，確認(rèn)在插入鼠標(biāo)之后，將需要大約 2 分鐘的時(shí)間，才能于 Windows 10 操作系統(tǒng)中獲得 SYSTEM 權(quán)限。

不過(guò)作為一個(gè)本地提權(quán)(LPE)漏洞，這意味著攻擊者必須能物理接觸到目標(biāo)計(jì)算機(jī)(比如在亞馬遜上花 20 美元買(mǎi)一只 Razer 鼠標(biāo))，才能設(shè)法在 Windows 10 設(shè)備上獲得管理員賬戶權(quán)限。

測(cè)試期間，Bleeping Computer 還在一臺(tái) Windows 10 PC 上創(chuàng)建了一個(gè)“具有標(biāo)準(zhǔn)的非管理員權(quán)限”的臨時(shí)賬戶。

由于 RazerInstaller.exe 可執(zhí)行文件是通過(guò)以 SYSTEM 權(quán)限運(yùn)行的 Windows 進(jìn)程啟動(dòng)的，因此 Razer 安裝程序也繼承了 SYSTEM 權(quán)限。

安裝完 Razer Synapse 軟件后，安裝想到允許用戶指定安裝文件夾，這就是本次零日漏洞發(fā)揮其威力的地方。

在變更文件夾位置時(shí)，將出現(xiàn)“選擇文件夾”對(duì)話框。若此時(shí)按需 Shift 并右鍵點(diǎn)擊該對(duì)話框，系統(tǒng)將提示“在此處打開(kāi) PowerShell 窗口”。

正如 CERT / CC 漏洞分析師 Will Dormann 所解釋的那樣，在 Windows 即插即用過(guò)程中安裝的其它軟件，也可能曝出類似的問(wèn)題。

慶幸的是，在該零日漏洞于 Twitter 上引起了廣泛關(guān)注后，Razer 已經(jīng)與安全研究人員取得了聯(lián)系，并將及時(shí)讓大家知道即將發(fā)布的修復(fù)程序。

此外就算該漏洞已被公開(kāi)披露，Razer 仍將向 @j0nh4 發(fā)放賞金獎(jiǎng)勵(lì)。