Foi revelado que uma vulnerabilidade no software Razer Synapse, usado para instalar drivers e configurar periféricos, permite obter direitos de administrador no Windows 10 ou Windows 11 quando você conecta um mouse ou teclado Razer ao computador.
Imagem: Biping Computer
A Razer é um fabricante popular de periféricos de computador para jogadores. O aplicativo proprietário Razer Synapse baixa e instala automaticamente os drivers necessários no seu PC quando você conecta um dispositivo. De acordo com os dados disponíveis, o software está instalado atualmente em mais de 100 milhões de dispositivos em todo o mundo.
O pesquisador descobriu que uma vulnerabilidade de dia zero no Razer Synapse torna mais fácil obter direitos de administrador em um computador Windows. Isso exigirá acesso físico ao computador e a um dispositivo Razer, como um mouse. O Razer Synapse será inicializado automaticamente quando um dispositivo for conectado. Isso executa o executável RazerInstaller.exe com privilégios de sistema e o próprio instalador do driver Razer também obtém privilégios elevados. O assistente de instalação do software permite que você selecione uma pasta para descompactar os arquivos, o que é um ponto fraco. Se você tentar alterar o caminho de instalação, a caixa de diálogo Selecionar pasta será exibida. Se você pressionar Shift neste lugar e clicar com o botão direito, o usuário terá a oportunidade de executar o utilitário PowerShell com direitos de sistema.
Precisa de administrador local e acesso físico?
– Conecte um mouse Razer (ou o dongle)
– O Windows Update baixará e executará o RazerInstaller como SISTEMA
– Abuse do Explorer elevado para abrir o PowerShell com Shift + clique com o botão direito
—
Depois que a informação sobre o problema foi publicada publicamente, representantes da Razer entraram em contato com o pesquisador e disseram que a empresa está trabalhando para consertar a vulnerabilidade. Também foi dito que Jonhat receberá uma recompensa por encontrar o problema, apesar de ter revelado a vulnerabilidade antes de corrigi-la.
A NASA seleciona cuidadosamente as tecnologias para suas missões, garantindo seu desempenho nas condições extremas…
A Gigabyte anunciou o lançamento de sua placa de vídeo topo de linha, a Aorus…
A iFixit lançou uma avaliação de reparabilidade para fones de ouvido sem fio, e o…
A Tesla está fazendo um recall de sua picape Cybertruck Long Range com tração traseira…
Os desenvolvedores do estúdio sueco Neon Giant (The Ascent), com o apoio da editora Krafton,…
Na teleconferência de resultados trimestrais da AMD deste mês, a CEO Lisa Su reconheceu que…