2021年08月23日 15時00分セキュリティ

Razerのマウスを接続するだけでシステム特権昇格が可能になる脆弱性が発見される

PC周辺機器メーカー・Razerのマウスやキーボードを管理するツール「Razer Synapse」に、ローカルで特権昇格が可能になるゼロデイ脆弱性が発見され、Twitterで公開されました。Razerはすでにこの脆弱性の修正に取り組んでいるとのことです。

Razer bug lets you become a Windows 10 admin by plugging in a mouse
https://www.bleepingcomputer.com/news/security/razer-bug-lets-you-become-a-windows-10-admin-by-plugging-in-a-mouse/

RazerのマウスやキーボードをWindowsのPCにはじめてつなぐと、Razer Synapseというツールのインストールが推奨されます。このRazer Synapseはマウスのボタンを設定したり、マクロを設定したりすることができる管理ソフトウェアです。

セキュリティ研究者でホワイトハッカーのjonhat氏は、マウスやキーボードをつないで行われるRazer Synapseのインストールプロセスにゼロデイ脆弱性があり、Windowsのシステム特権を簡単に取得できてしまうことを発見しました。

Need local admin and have physical access?
- Plug a Razer mouse (or the dongle)
- Windows Update will download and execute RazerInstaller as SYSTEM
- Abuse elevated Explorer to open Powershell with Shift+Right click

Tried contacting @Razer, but no answers. So here's a freebie pic.twitter.com/xDkl87RCmz
— jonhat (@j0nh4t)

この脆弱性は、Razerのマウスやキーボード、無線ドングルを物理的にPCに接続することが条件だとのこと。Razer Synapseのインストール実行ファイルであるRazerInstaller.exeが、システム特権で実行されるWindowsプロセスを介して起動するので、RazerInstaller.exeもシステム特権を取得します。

そして、Razer Synapseのインストール先のフォルダを選択する際に、Shiftキーを押しながら「フォルダの選択」ダイアログを右クリックすると、PowerShellを開くことが可能。

実際に開いたPowerShellで「whoami」のコマンドを入力すると、システム特権を持っていることがわかります。

セキュリティ研究者のウィル・ドーマン氏は「『USBを接続するとソフトウェアが自動的に読み込まれる』と『ソフトウェアのインストールをシステム特権で行う』という2つが組み合わさることを考えると、他にも悪用が可能なパッケージが存在するかもしれません」と述べ、Razer Synapse以外にも同様の脆弱性を持つツールがある可能性を指摘しています。

Many vulnerabilities fall into the class of "How has nobody realized this before now?"

If you combine the facts of "connecting USB automatically loads software" and "software installation happens with privileges", I'll wager that there are other exploitable packages out there...
— Will Dormann (@wdormann)

なお、jonhat氏によれば当初Razerに連絡しても返答がなかったため、Twitterでの公開に至ったそうですが、公開後にRazerのセキュリティチームから「可及的速やかに修正に取り掛かっている」と報告があったそうです。また、脆弱性はTwitterで既に公開されましたが、Razerはjonhat氏にバグ発見の報奨金を支払う予定だとのことです。

I would like to update that I have been reached out by @Razer and ensured that their security team is working on a fix ASAP.

Their manner of communication has been professional and I have even been offered a bounty even though publicly disclosing this issue.
— jonhat (@j0nh4t)

この記事のタイトルとURLをコピーする

・関連コンテンツ

2021年08月23日 15時00分00秒 in ソフトウェア, セキュリティ, Posted by log1i_yk

You can read the machine translated English article here.