Noticias Tecnológicas

¿Necesita root en una caja de Windows? Conecta un mouse para juegos Razer

Maquinilla de afeitar

Este fin de semana, el investigador de seguridad Jonhat divulgado un error de seguridad de larga data en el software Synapse relacionado con los ratones para juegos Razer. Durante la instalación del software, el asistente crea un enlace en el que se puede hacer clic a la ubicación donde se instalará el software. Al hacer clic en este enlace, se abrirá una ventana del Explorador de archivos con la ubicación sugerida, pero ese Explorador de archivos vendrá con SYSTEM ID de proceso, no del usuario.

Tengo el mouse, voy a rootear

En sí misma, esta vulnerabilidad en Razer Synapse parece un problema menor, al menos para iniciar un instalador de software con ella. SYSTEM Permisos que un usuario debería tener normalmente Administrator Privilegios. Desafortunadamente, Synapse es parte del catálogo de Windows, lo que significa que un usuario sin privilegios puede simplemente conectar un mouse Razer y Windows Update descargará y ejecutará automáticamente el instalador explotable.

Jonhat no es el único, ni siquiera el primero, investigador en descubrir este defecto y hacerlo público. Lee Christensen públicamente divulgado mismo error en julio y según el investigador de seguridad _MG_, OMS mostrado Utiliza un cable OMG para hacerse pasar por el ID de dispositivo PCI de un mouse Razer y explotar la misma vulnerabilidad, informaron los investigadores sin éxito durante más de un año.

Las vulnerabilidades de seguridad se solucionarán en breve en un catálogo de Windows cercano a usted

Afortunadamente, parece que Razer finalmente recibió el memo – jonhat informó que la compañía se comunicó con él poco después de su liberación el 21 de agosto para asegurarle que su equipo de seguridad estaba «trabajando en una solución lo antes posible» y que, a pesar de la liberación, la compañía incluso le había ofrecido una recompensa.

Una vez que Razer ha parcheado la vulnerabilidad en sí, el siguiente paso es enviarla a Microsoft para su inclusión en el catálogo de Windows, donde debe reemplazar el controlador Razer HIDClass actual y vulnerable, que Windows Update descarga y ejecuta automáticamente si se usa un mouse Razer. el sistema está conectado. (La versión vulnerable en el catálogo de Windows en el momento de la publicación es 6.2.9200.16495 de enero de 2017).

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba