Na Twitteru je otkrivena pogreška u Razer Synapse softveru koja vam omogućuje da dobijete administratorske ovlasti nad Windowsom priključivanjem Razer miša ili tipkovnice. Kad spojite Razer uređaj, operacijski sustav automatski će preuzeti i početi instalirati Razer Synapse, softver koji Razer koristi za kontrolu postavki svoje dodatne opreme.
Istraživač sigurnosnih prijetnji jonhat otkrio je pogrešku u automatski instaliranoj Razer Synapse aplikaciji koja korisnicima pruža brzo stjecanje SYSTEM privilegija na Windows uređaju. To su najveća korisnička prava dostupna u Windows sustavu koja dopuštaju nekome izvršavanje bilo koje naredbe i instalaciju bilo koje aplikacije, uključujući malwarea.
Nakon što nije dobio odgovor od Razera, jonhat je na Twitteru otkrio pogrešku i kratkim videom objasnio kako zapravo radi.
U pitanju je ranjivost na lokalnoj razini, što znači da morate imati pristup računalu i to vam omogućuje da dobijete najveća dopuštenja povezivanjem samo najjeftinijeg Razer miša. Sustav će instalirati ranjivi softver, a zatim je potrebno manje od nekoliko minuta za dobivanje pristupa SYSTEM privilegijama u sustavu Windows 10.
Windows 10 i 11 pokreće instalaciju Razer Synapse softvera sa SYSTEM privilegijama. Tijekom procesa instalacije, kada vas Windows pita u koju mapu želite spremiti softver, pritiskom na tipku Shift i desnim klikom miša na gumb “Odaberi mapu” pokrenut će se prozor PowerShell – također sa SYSTEM privilegijama.
Kako je objasnio Will Dormann , istraživač sigurnosti u CERT/CC-u, slične greške mogu se naći u mnogim automatskim aplikacijama. Razer je kontaktirao jonhata tek nakon što je otkrivena ranjivost i nakon što je privukla veliku pozornost na Twitteru.
Piše: Marijan Živković