專為電競、遊戲而生的電腦周邊因為擁有高規格的性能受到很多人的愛用,即便是日常工作也非常適合,其中 Razer 更是在全球受到很多玩家、用戶歡迎的品牌。國外安全研究員發現 Razer Synapse 軟體中的 Bug 能夠讓人插上滑鼠就擁有系統管理員主權限,目前 Razer 已承認該問題的存在並允諾盡速修復。
研究發現 Razer Synapse 軟體 Bug,只要插上滑鼠就授予系統管理員權限
Razer 是一家在全球非常受歡迎的電腦周邊製造商,以其遊戲滑鼠和鍵盤聞名。當將 Razer 裝置插入 Windows 10 或 Windows 11 時,作業系統將自動下載並在電腦上開始安裝 Razer Synapse 軟體,它能允許使用者設定硬體設備、巨集或定義按鈕的軟體,最常用的莫過於燈光動態的設計等,根據 Razer 的說法,求全有超過 1 億位用戶正在使用這款軟體。
系統管理員權限是 Windows 作業系統中最高層級的用戶權限,可允許用戶在作業系統上執行任何命令。從本質上來說,一旦用戶在 Windows 上獲得該權限就等於能夠完全控制系統,並且可以安裝任何想要安裝的軟體,當然也包含惡意軟體。國外安全研究員 Jonhat 在其 Twitter 上面披露一個 Razer Synapse 軟體上的漏洞,這個漏洞的利用難度極低,只需將任意一個 Razer 滑鼠插入 USB 孔,有心人士能夠藉此快速地就從 Windows 設備上獲得系統管理員權限。
Need local admin and have physical access?
— jonhat (@j0nh4t) August 21, 2021
- Plug a Razer mouse (or the dongle)
- Windows Update will download and execute RazerInstaller as SYSTEM
- Abuse elevated Explorer to open Powershell with Shift+Right click
Tried contacting @Razer, but no answers. So here's a freebie pic.twitter.com/xDkl87RCmz
稍微讓人放心一點的消息是,這個漏洞必須由 Razer 滑鼠與 Windows 電腦的直接接觸,所以不肖人士必須能更真正碰觸到你的電腦才能幹壞事。Razer 目前已經確認該錯誤的存在並且允諾盡快推出修復程式。現在市場上需要與硬體搭配安裝的軟體繁多,這絕對只是冰山一角,讓人不禁想到還有多少軟體中具備類似的問題只是沒有被發現。
◎資料來源:Slash Gear