Уязвимость в Razer позволяет получить привилегии администратора на Windows 10

[Artifact]

Повысить свои привилегии можно, просто подключив к компьютеру мышь или клавиатуру Razer.

Исследователь безопасности jonhat рассказал в Twitter об уязвимости в Razer Synapse, позволяющей получить привилегии администратора на Windows-ПК, просто подключив к нему компьютерную мышь или клавиатуру Razer.
Razer – популярный производитель периферийных устройств, известный своими игровыми мышами и клавиатурами. При подключении устройства Razer к Windows 10 или Windows 11 операционная систем автоматически загружает и устанавливает ПО Razer Synapse, позволяющее пользователям конфигурировать свои устройства, настраивать макросы и кнопки. По словам самого производителя, Razer Synapse используется более чем 100 млн человек по всему миру.
Обнаруженная jonhat уязвимость в инсталляции «plug-and-play» Razer Synapse позволяет пользователям быстро получать привилегии системы на Windows. Исследователь уведомил о ней производителя, но так и не получил ответ, поэтому решил рассказать о ней в Twitter.
Для того чтобы проэксплуатировать уязвимость, необходим физический доступ как к устройству Razer, так и к компьютеру. В процессе автоматической инсталляции Razer Synapse мастер установки просит указать папку, в которую следует установить данное ПО, и именно в здесь кроется проблема. Если сменить расположение папки, появится окно «Выбрать папку». При нажатии Shift и правой кнопки мыши появится окно, предлагающее открыть PowerShell. Поскольку это предложение открыть PowerShell запускается процессом с привилегиями системы, то и у самого предложения есть привилегии системы.
Как пояснил аналитик CERT/CC Уилл Дорманн (Will Dormann), такие же уязвимости можно найти и в другом ПО, устанавливаемом с помощью процессa Windows «plug-and-play».
После того, как твит jonhat привлек огромное внимание общественности, компания Razer связалась с ним и дала знать, что намерена исправить уязвимость. Кроме того, она пообещала исследователю вознаграждение в рамках программы bug bounty, даже несмотря на то, что уязвимость была публично раскрыта.