Razer Synapse Bug дає доступ до Admin доступу до будь-кого, хто може підключити мишу
Можливо, ви захочете стежити за вашими USB-портами протягом наступних кількох днів. Дослідник безпеки розкрив тривожний простий спосіб отримати привілеї адміністратора в Windows 10 без пароля, а для одного разу це не помилка Microsoft. Цього разу це все завдяки Razer та його програмне забезпечення синапсу. Виправлення знаходиться в роботах, але Razer пропустив можливість очолити це один, перш ніж це була проблема.
Історія починається з дослідника безпеки Jonhat (@ j0nh4t на Twitter), який помітив, що програмне забезпечення Synape для Razer автоматично розгортається, коли розгортається, коли розробила, як і багато хто-багатий ігрові периферії, Razer вимагає використання його настільного програмного забезпечення Для керування вогнями, кнопки відображення та інші функції.
Ця частина не є незвичайною - Windows Update автоматично завантажує безліч програмного забезпечення для вас на основі доданого обладнання. Це робить це як система, але поточний інсталятор синапсу Razer зберігає дозвіл на систему, що виявляється проблемою.
За словами Джонату, можна викрасти підвищений процес дослідника від установки, щоб відкрити PowerShell. Звідти ви можете встановити все, що ви хочете, оскільки система має найвищі права користувачів, доступних у Windows. Крім того, ніби це не було достатньо погано, ви можете вручну вибрати керований шлях встановлення, як робочий стіл. Інсталятор створює бінарний файл, який може бути подальшим, щоб зробити будь-яку систему, яка змінює постійну (бінарний виконується ще до входу).
Потрібен місцевий адміністратор і мати фізичний доступ? - Підключіть ноутбуку (або Dongle) - Windows Update завантажена та виконуйте Razerinstaller, як системний звук підвищений дослідник, щоб відкрити PowerShell з Shift + Клацніть правою кнопкою миші
Спробував зв'язатися з @Razer, але немає відповідей. Ось тут freebie pic.twitter.com/xdkl87rcmz
- Jonhat (@ j0nh4t) 21 серпня 2021
З уразливості цієї тяжкості, очікується, що першовідкривальник буде відповідально розкривати, перейшовши через компанію. Однак, Джонхат каже, що Razer ігнорував його листування. Отже, він розкривав нульовий день публічно. Кілька інших з тих пір підтвердили, що миша для розростання може допомогти взяти на себе 10 ПК всього за кілька хвилин. Використовуючи цей метод, зловмисник може встановити все, що вони хочуть, не входять в систему адміністратора.
Отже, це не велика ситуація, і єдина рятувальна благодать полягає в тому, що хтось потребує фізичного доступу до вашого комп'ютера (і периферійного). Після розкриття, Razer підтвердив, що незабаром він працював над патчем. Тим часом, стежте за Lorkers з яскравими мишами.
Читати далі
Цього місяця надрукується Razer’s Tomahawk ультракомпактний настільний ПК
Цього місяця ультракомпактний ПК буде доступний для попереднього замовлення з характеристиками, включаючи процесор Core i7 та відеокарту Nvidia RTX 3080. Однак новий ПК Razer не буде дешевим.
Razer оновлення Raptor 27 ігровий монітор: більш високий рівень оновлення, ціна
Компанія тільки що оголосила про нову версію свого преміального ігрового монітора з швидшим оновленням, а також можливість, щоб викинути деякі з цих світлодіодів з індивідуальним стендом. Однак Raptor 27 не приходить дешево.
Qualcomm-Powered Razer Handheld Game Console витікає
Razer випускає випуск Qualcomm-Powered Gaming Handheld, відомий як Snapdragon G3X Knaplelder Developer Kit. Як випливає з назви, цей пристрій буде спрямований на розробників, але це може призвести до нового покоління ігрових машин Android.
CES: Razer представляє модульний ігровий стіл, що називається Софією
Це просто не відчуватиметься, як справжня КЕС без футуристичної концепції розростання.