剑客网

  |  手机版

收藏网站

剑客网,汇聚专业声音 解析IT潮流

软件

首页 > 软件 >

Razer Synapse软件现漏洞 插入雷蛇鼠标或键盘可在Windows 10中获得管理员权限

浏览:出处:剑客网2021-08-24 11:45

  剑客网8月24日消息 在Razer Synapse软件中发现了一个令人担忧的安全漏洞,可以利用该漏洞在Windows 10中获得管理员权限。关于这个漏洞,除了目前还没有可用的补丁之外,特别令人担忧的是,通过简单地插入雷蛇鼠标、键盘或狗狗,就可以利用这个漏洞。

  关于这个安全漏洞,几乎唯一没有问题的是,它是一个本地特权升级(LPE)漏洞,这意味着攻击者需要对系统进行物理访问才能利用它。尽管如此,零日可以被任何花几块钱买个便宜的雷蛇外围设备的人利用。

  安全漏洞非常容易被利用,本质上使攻击者可以自由地对系统做任何他们想做的事情。当雷蛇的鼠标、键盘或狗连接到计算机上时,软件安装程序会自动下载并以SYSTEM权限运行。在安装过程中,可以使用Windows上下文菜单打开PowerShell提示符,这将保留相同的特权,允许执行广泛和危险的命令。

  这个漏洞是由黑客jonhat发现的(他在Twitter上的个人简介是这样写的:“虽然是真的,但一定要吃;睡觉;黑客;游戏;结束”)。他在推特上详细介绍了如何利用这一安全漏洞,并发布了一段攻击视频:

  - Windows更新将下载并执行RazerInstaller作为系统

  滥用增加浏览器打开Powershell与Shift+右键

  试着联系雷蛇,但没有回应。这是一个免费的pic.twitter.com/xDkl87RCmz

  ——乔纳森特(@j0nh4t) 2021年8月21日

  他后来在推特上说,雷蛇联系了他,雷蛇向他保证,公司的安全团队正忙于修复。此外,尽管jonhat已经公开披露了这个安全漏洞,雷蛇还是给了他一个漏洞赏金,不过他并没有透露漏洞大小的细节。

相关文章

最新新闻

网警备案