Bug regala i privilegi di amministratore di Windows collegando un mouse



[ZEUS News - www.zeusnews.it - 27-08-2021]

razer bug windows

Ci sono vulnerabilità che sono complicate da sfruttare, e richiedono conoscenze circa il funzionamento dei computer e delle reti, e magari anche nozioni di programmazione.

Poi ci sono falle come quella scoperta nell'ultimo fine settimana dall'esperto di sicurezza jonhat (come recita il nome che ha scelto su Twitter), decisamente più semplici: per sfruttarle basta collegare un mouse o una tastiera al computer.

Non un mouse o una tastiera qualsiasi, naturalmente, e nemmeno un computer qualsiasi. Il computer deve infatti eseguire Windows 10 o 11, e la periferica deve essere di quelli prodotti da Razer.

Quando l'utente compie questa operazione il sistema operativo, servizievole, adopera Windows Update per scaricare e installare il software Razer Synapse (usato da circa 100 milioni di persone in tutto il mondo, secondo i dati ufficiali), tramite il quale è possibile configurare i vari aspetti del mouse o della tastiera.

Il guaio sta nel fatto che il programma di installazione viene lanciato da un processo di Windows eseguito con i diritti di sistema (account locale SYSTEM), diritti che anche il programma di installazione acquisisce e che consentono di fare praticamente qualsiasi cosa.

In sé fin qui i problemi non sarebbero molto gravi. La gravità si palesa quando il wizard che gestisce l'installazione consente all'utente di scegliere la cartella in cui installare Synapse.

La finestra di dialogo per la scelta della cartella, infatti, consente a questo punto di aprire una PowerShell con i diritti dell'account SYSTEM: è sufficiente premere il tasto Shift sulla tastiera e fare clic con il tasto destro del mouse in un punto libero della finestra per visualizzare il menu con il comando che consente di farlo.

Lo scopritore del problema, prima di pubblicare una dimostrazione della falla su Twitter, afferma di aver provato a contattare Razer ma senza ricevere risposta.

Dopo che la notizia ha iniziato a diffondersi, però, è stata Razer stessa a contattare j0nh4t, per fargli sapere che il team interno di sicurezza è già al lavoro per correggere la vulnerabilità e anche per offrirgli una ricompensa.

Il bug - è vero - presenta delle caratteristiche che ne limitano la pericolosità: per essere sfruttato bisogna fisicamente trovarsi davanti al PC preso come bersaglio e, naturalmente, avere a portata di mano una periferica prodotta da Razer. In ogni caso, non è bene lasciarlo libero di circolare, soprattutto ora che tutti ne sono a conoscenza.

Nei prossimi giorni, quindi, il programma d'installazione del software Razer Synapse sarà rilasciato in una nuova versione corretta. Resta tuttavia un quesito: è davvero una buona idea, per quanto comoda, lasciare al sistema operativo il compito di scaricare in automatico il software opzionale di una periferica?

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti
La tastiera con keylogger integrato
Il bug di Ntfs che manda in crash Windows

Commenti all'articolo (1)

Evidentemente no ma pare evidente che ci sia molta gente che invece la pensa così... :roll: Leggi tutto
4-9-2021 14:52

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Un collaboratore di Zeus News ci ha posto il quesito: "Mio figlio ha ormai 8 anni, che grosso modo è l'età in cui io ho ricevuto il Commodore 16 (avevo 9 anni). Lui per Natale vorrebbe un tablet. Che cosa gli regalo?" Secondo voi, è meglio regalare...
Un tablet
Un notebook
Un Pc
Un Commodore 16
Qualcos'altro

Mostra i risultati (2471 voti)
Agosto 2022
WhatsApp, arriva il blocco degli screenshot
Le chiavi dell'auto? Al sicuro nel microonde
Intel, 5 miliardi per costruire uno stabilimento in Italia
E Spot prese il fucile
Gmail, la nuova interfaccia adesso è per tutti
Luglio 2022
Istruzioni per il voto: la busta
Il Tribunale di Milano ordina a Cloudflare di censurare tre siti
Microsoft, un nuovo Windows ogni tre anni
TIM: 9.000 esuberi e un ultimatum al Governo
L'algoritmo che predice i crimini con una settimana d'anticipo
Alexa fa parlare i morti
Giugno 2022
Tesla e la batteria che dura 100 anni
Cosa succede alle password se cambio o perdo il mio dispositivo?
Il sistema operativo open source che ridà vita ai vecchi smartphone
Adobe, prove di Photoshop gratuito per tutti
Tutti gli Arretrati
Accadde oggi - 13 agosto


web metrics