Bug regala i privilegi di amministratore di Windows collegando un mouse



[ZEUS News - www.zeusnews.it - 27-08-2021]

razer bug windows

Ci sono vulnerabilità che sono complicate da sfruttare, e richiedono conoscenze circa il funzionamento dei computer e delle reti, e magari anche nozioni di programmazione.

Poi ci sono falle come quella scoperta nell'ultimo fine settimana dall'esperto di sicurezza jonhat (come recita il nome che ha scelto su Twitter), decisamente più semplici: per sfruttarle basta collegare un mouse o una tastiera al computer.

Non un mouse o una tastiera qualsiasi, naturalmente, e nemmeno un computer qualsiasi. Il computer deve infatti eseguire Windows 10 o 11, e la periferica deve essere di quelli prodotti da Razer.

Quando l'utente compie questa operazione il sistema operativo, servizievole, adopera Windows Update per scaricare e installare il software Razer Synapse (usato da circa 100 milioni di persone in tutto il mondo, secondo i dati ufficiali), tramite il quale è possibile configurare i vari aspetti del mouse o della tastiera.

Il guaio sta nel fatto che il programma di installazione viene lanciato da un processo di Windows eseguito con i diritti di sistema (account locale SYSTEM), diritti che anche il programma di installazione acquisisce e che consentono di fare praticamente qualsiasi cosa.

In sé fin qui i problemi non sarebbero molto gravi. La gravità si palesa quando il wizard che gestisce l'installazione consente all'utente di scegliere la cartella in cui installare Synapse.

La finestra di dialogo per la scelta della cartella, infatti, consente a questo punto di aprire una PowerShell con i diritti dell'account SYSTEM: è sufficiente premere il tasto Shift sulla tastiera e fare clic con il tasto destro del mouse in un punto libero della finestra per visualizzare il menu con il comando che consente di farlo.

Lo scopritore del problema, prima di pubblicare una dimostrazione della falla su Twitter, afferma di aver provato a contattare Razer ma senza ricevere risposta.

Dopo che la notizia ha iniziato a diffondersi, però, è stata Razer stessa a contattare j0nh4t, per fargli sapere che il team interno di sicurezza è già al lavoro per correggere la vulnerabilità e anche per offrirgli una ricompensa.

Il bug - è vero - presenta delle caratteristiche che ne limitano la pericolosità: per essere sfruttato bisogna fisicamente trovarsi davanti al PC preso come bersaglio e, naturalmente, avere a portata di mano una periferica prodotta da Razer. In ogni caso, non è bene lasciarlo libero di circolare, soprattutto ora che tutti ne sono a conoscenza.

Nei prossimi giorni, quindi, il programma d'installazione del software Razer Synapse sarà rilasciato in una nuova versione corretta. Resta tuttavia un quesito: è davvero una buona idea, per quanto comoda, lasciare al sistema operativo il compito di scaricare in automatico il software opzionale di una periferica?

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti
La tastiera con keylogger integrato
Il bug di Ntfs che manda in crash Windows

Commenti all'articolo (1)

Evidentemente no ma pare evidente che ci sia molta gente che invece la pensa così... :roll: Leggi tutto
4-9-2021 14:52

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Qual è il risultato corretto di 6/2(1+2) ?
1
9

Mostra i risultati (4237 voti)
Marzo 2025
ChatGPT ''impazzisce'' e accusa di omicidio un innocente
Addio a Windows 10: Microsoft importuna gli utenti via email
Da Apple un iPhone sottilissimo e senza porta di ricarica
Il giorno che la IA si rifiutò di eseguire un comando
Seagate, la truffa dei dischi usati si fa più sofisticata
Stampanti HP, dopo l'update non funzionano neanche le cartucce originali
Il sistema open source compatibile con Windows
Western Digital dice addio agli SSD
LibreWolf, il fork di Firefox che rispetta davvero la privacy
Gemini sbircia dalla videocamera del telefono
Forse Paragon ha intercettato anche Papa Francesco
Febbraio 2025
Seagate, si allarga il caso dei dischi usati venduti per nuovi
Gmail, addio agli SMS per l'autenticazione a due fattori
IA: era una bolla quella che è scoppiata
Majorana 1, il rivoluzionario chip quantistico di Microsoft
Tutti gli Arretrati
Accadde oggi - 23 marzo


web metrics