Bug regala i privilegi di amministratore di Windows collegando un mouse



[ZEUS News - www.zeusnews.it - 27-08-2021]

razer bug windows

Ci sono vulnerabilità che sono complicate da sfruttare, e richiedono conoscenze circa il funzionamento dei computer e delle reti, e magari anche nozioni di programmazione.

Poi ci sono falle come quella scoperta nell'ultimo fine settimana dall'esperto di sicurezza jonhat (come recita il nome che ha scelto su Twitter), decisamente più semplici: per sfruttarle basta collegare un mouse o una tastiera al computer.

Non un mouse o una tastiera qualsiasi, naturalmente, e nemmeno un computer qualsiasi. Il computer deve infatti eseguire Windows 10 o 11, e la periferica deve essere di quelli prodotti da Razer.

Quando l'utente compie questa operazione il sistema operativo, servizievole, adopera Windows Update per scaricare e installare il software Razer Synapse (usato da circa 100 milioni di persone in tutto il mondo, secondo i dati ufficiali), tramite il quale è possibile configurare i vari aspetti del mouse o della tastiera.

Il guaio sta nel fatto che il programma di installazione viene lanciato da un processo di Windows eseguito con i diritti di sistema (account locale SYSTEM), diritti che anche il programma di installazione acquisisce e che consentono di fare praticamente qualsiasi cosa.

In sé fin qui i problemi non sarebbero molto gravi. La gravità si palesa quando il wizard che gestisce l'installazione consente all'utente di scegliere la cartella in cui installare Synapse.

La finestra di dialogo per la scelta della cartella, infatti, consente a questo punto di aprire una PowerShell con i diritti dell'account SYSTEM: è sufficiente premere il tasto Shift sulla tastiera e fare clic con il tasto destro del mouse in un punto libero della finestra per visualizzare il menu con il comando che consente di farlo.

Lo scopritore del problema, prima di pubblicare una dimostrazione della falla su Twitter, afferma di aver provato a contattare Razer ma senza ricevere risposta.

Dopo che la notizia ha iniziato a diffondersi, però, è stata Razer stessa a contattare j0nh4t, per fargli sapere che il team interno di sicurezza è già al lavoro per correggere la vulnerabilità e anche per offrirgli una ricompensa.

Il bug - è vero - presenta delle caratteristiche che ne limitano la pericolosità: per essere sfruttato bisogna fisicamente trovarsi davanti al PC preso come bersaglio e, naturalmente, avere a portata di mano una periferica prodotta da Razer. In ogni caso, non è bene lasciarlo libero di circolare, soprattutto ora che tutti ne sono a conoscenza.

Nei prossimi giorni, quindi, il programma d'installazione del software Razer Synapse sarà rilasciato in una nuova versione corretta. Resta tuttavia un quesito: è davvero una buona idea, per quanto comoda, lasciare al sistema operativo il compito di scaricare in automatico il software opzionale di una periferica?

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti
La tastiera con keylogger integrato
Il bug di Ntfs che manda in crash Windows

Commenti all'articolo (1)

Evidentemente no ma pare evidente che ci sia molta gente che invece la pensa così... :roll: Leggi tutto
4-9-2021 14:52

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Hanno suscitato polemiche in Abruzzo alcuni manifesti pubblicitari con una ragazza in bikini e la scritta: "La diamo a tutti... l'Adsl dove non c'è". Alcuni hanno proposto di farli rimuovere perché lesivi della dignità della donna. Cosa ne pensi?
Sono contrario al ritiro dei manifesti perché sono incisivi e divertenti.
Li trovo volgari ma non credo che si possano proibire.
Bisogna farli rimuovere perché sono vergognosi.
Non penso che aumenteranno gli abbonamenti Adsl, anzi...
Altri gestori hanno fatto di peggio.

Mostra i risultati (4271 voti)
Novembre 2022
L'app per scaricare l'intera Wikipedia (e non solo)
La scorciatoia che sblocca Windows
Amazon Drive chiude i battenti
Le cinque migliori alternative a Z Library
Il visore VR che uccide i giocatori quando perdono
Gli Stati Uniti oscurano Z Library
Vodafone, sottratti oltre 300 GB di dati degli utenti
Pochi o tanti, ma contanti
Ottobre 2022
Chrome si prepara ad abbandonare i Windows ''vecchi''
iPhone 14, nessuno lo vuole?
Windows 11, in arrivo il primo "Momento"
TikTok, arrivano i contenuti per soli adulti
Addio Office, benvenuta Microsoft 365
La truffa del cosmonauta bloccato nello spazio
Windows 11, inizia la seconda fase degli update
Tutti gli Arretrati
Accadde oggi - 30 novembre


web metrics