windows-mouse-razer-privilegi-amministratore

Sebbene Microsoft abbia lavorato instancabilmente per rimuovere quest’idea, Windows conserva ancora l’immagine di un sistema operativo che è quasi troppo facile da compromettere. Molti di questi exploit si verificano sul lato remoto quando le persone fanno clic su collegamenti sospetti o scaricano software da fonti non ufficiali.

Arriva un momento, tuttavia, in cui un exploit avviene quasi troppo facilmente, come quando si collega un mouse Razer che, a sua volta, avvia un processo che consentirà a quasi chiunque abbia accesso fisico al computer di ottenere il controllo dell’amministratore a livello di sistema.

Windows adotta la funzione Plug and Play

Gli utenti Windows sono praticamente abituati al concetto di ‘Plug and Play‘, in cui le nuove periferiche ‘funzionano’ quando vengono collegate. Di solito si tratta di un programma che viene eseguito automaticamente per scaricare e installare il dispositivo driver e configurare il PC in modo che riconosca il dispositivo esterno. Questo sistema è utilizzato da quasi tutti gli accessori Windows affidabili, il che suggerisce che questa particolare vulnerabilità zero-day non è esclusiva solo di Razer.

Ciò che rende la questione un po’ più seria è che il programma di installazione del software Synapse di Razer rende fin troppo facile sfruttare quel processo. Synapse è l’applicazione che consente agli utenti di configurare il proprio hardware Razer con funzionalità avanzate, come la rimappatura di tasti e pulsanti. Il programma di installazione per Synapse viene eseguito automaticamente quando si collega un mouse Razer, ed è qui che le cose vanno male.

RazerInstaller.exe viene naturalmente eseguito con privilegi a livello di sistema per apportare modifiche al PC Windows. Tuttavia, consente anche all’utente di aprire un’istanza di Esplora file con gli stessi poteri e gli utenti possono avviare PowerShell che consentirà loro di fare qualsiasi cosa con il sistema, inclusa l’installazione di malware.

La buona notizia è che questo exploit richiede che l’attaccante abbia accesso fisico al computer Windows di destinazione e un mouse Razer.