خبر

  • تک بورد - اشکال Razer Synapse با اتصال ماوس یا صفحه کلید ، امتیازات مدیر Windows را می دهد

    اشکال Razer Synapse با اتصال ماوس یا صفحه کلید ، امتیازات مدیر Windows را می دهد
    4 ساعت و 48 دقیقه قبل

    به نظر می رسد که دستیابی به امتیازات ویندوز در سطح سرپرست به کار زیادی نیاز ندارد. تنها چیزی که نیاز دارید دسترسی فیزیکی و موس یا صفحه کلید Razer است. این نتیجه آسیب پذیری صفر روزه در نرم افزار محبوب Synapse این شرکت است که از فرایند نصب plug-and-play استفاده می کند.

    محقق امنیتی jonhat این اشکال را در توییتر (از طریق BleepingComputer) فاش کرد. او توضیح می دهد که چگونه هرکسی می تواند به سادگی با اتصال ماوس ، صفحه کلید یا دانگل Razer ، کنترل کامل سیستم و اجازه نصب نرم افزارهای غیر مجاز ، از جمله بدافزار ، به سیستم دسترسی پیدا کند.

    نیاز مدیر محلی و دسترسی فیزیکی دارید؟ - ماوس Razer (یا دانگل) را وصل کنید - Windows Update RazerInstaller را به عنوان SYSTEM بارگیری و اجرا می کند - سوءاستفاده از اکسپلورر بالا برای باز کردن Powershell با Shift+راست کلیک سعی کرد باRazer تماس بگیرید ، اما هیچ پاسخی وجود نداشت. بنابراین در اینجا یک freebie pic.twitter.com/xDkl87RCmz

    - jonhat (@j0nh4t) 21 اوت 2021

    این فرآیند با اتصال اول یکی از لوازم جانبی Razer کار می کند. این باعث می شود که Windows به طور خودکار درایور و نرم افزار Razer Synapse را بارگیری و نصب کند. این مشکل ناشی از راه اندازی RazerInstaller.exe با امتیازات سطح سیستم است تا بتواند در رایانه تغییراتی ایجاد کند. نرم افزار Razer Synapse. هنگام تغییر پوشه مقصد ، کادر گفتگوی "Choose a Folder " ظاهر می شود. Shift را کلیک کنید و اینجا را راست کلیک کنید و "Open Powershell windows here. " را انتخاب کنید. با این کار ، اعلان Powershell با همان امتیازات سیستم به عنوان فرآیند راه اندازی باز می شود.

    بسیاری از آسیب پذیری ها در گروه قرار می گیرند. "چگونه تا به حال هیچ کس به این موضوع پی نبرده است؟ " اگر حقایق "اتصال USB به طور خودکار نرم افزار را بارگذاری می کند " و "نصب نرم افزار با امتیازات " را ترکیب کنید ، من شرط می بندم که بسته های قابل استفاده دیگری نیز وجود دارد … p> بزرگترین هشدار در اینجا این است که هرکسی که قصد دارد از سوء استفاده به دلایل ناپسند استفاده کند ، نیاز به دسترسی فیزیکی به دستگاه مورد نظر دارد - علاوه بر محصول Razer - اما هنوز پیامدهای بالقوه جدی دارد.

    Jonhat افزود او با تیم امنیتی Razer تماس گرفت و در حال کار بر روی رفع مشکل است. این محقق افزود که با وجود افشای علنی این اشکال ، به او جایزه داده شد. انتظار می رود Razer به زودی یک به روزرسانی را ارائه دهد که این مشکل را برطرف می کند.





خبرهای دیگر از امنیت