Razer雷蛇是一家非常受全球游戲玩家歡迎的計(jì)算機(jī)外圍設(shè)備制造商，以其游戲鼠標(biāo)和鍵盤而聞名。目前一個(gè)Razer Synapse雷蛇云驅(qū)動(dòng)零日漏洞已在推特上被披露，您只需插入雷蛇鼠標(biāo)或鍵盤即可獲得Windows管理員權(quán)限。

　　將Razer雷蛇外設(shè)（鼠標(biāo)或鍵盤）插入Windows 10或Windows 11時(shí)，操作系統(tǒng)將自動(dòng)下載并開始在計(jì)算機(jī)上安裝Razer Synapse軟件。Razer Synapse是一款允許用戶配置硬件設(shè)備、設(shè)置宏或映射按鈕的軟件。

　　Razer雷蛇聲稱他們的Razer Synapse軟件被全球超過1億用戶使用。

　　安全研究員jonhat在即插即用的Razer Synapse安裝中發(fā)現(xiàn)了一個(gè)零日漏洞，該漏洞允許用戶在Windows設(shè)備上快速獲得系統(tǒng)權(quán)限。SYSTEM權(quán)限是Windows中可用的最高用戶權(quán)限，允許某人在操作系統(tǒng)上執(zhí)行任何命令。如果用戶在Windows中獲得SYSTEM權(quán)限，他們就可以完全控制系統(tǒng)并可以安裝他們想要的任何東西，包括惡意軟件。

　　在沒有收到Razer的回應(yīng)后，jonhat昨天在推特上披露了零日漏洞，并通過一段短視頻解釋了該漏洞的工作原理。

　　通過插入鼠標(biāo)獲得SYSTEM權(quán)限

　　我們決定測(cè)試該漏洞，并確認(rèn)在插入雷蛇鼠標(biāo)后，我們需要大約兩分鐘才能在 Windows 10中獲得系統(tǒng)權(quán)限。需要注意的是，這是一個(gè)本地提權(quán)（LPE）漏洞，這意味著您需要擁有一臺(tái) Razer雷蛇設(shè)備并能夠物理訪問計(jì)算機(jī)就能獲得系統(tǒng)權(quán)限。話雖如此，這個(gè)漏洞很容易被利用，因?yàn)槟阒恍枰趤嗰R遜上花費(fèi)20美元購買Razer鼠標(biāo)并將其插入Windows 10 即可成為管理員。

　　為了測(cè)試這個(gè)bug，我們?cè)谖覀兊囊慌_(tái)Windows 10計(jì)算機(jī)上創(chuàng)建了一個(gè)臨時(shí)的“測(cè)試”用戶，具有標(biāo)準(zhǔn)的非管理員權(quán)限，如下所示。

　　在Windows 10中沒有管理權(quán)限的測(cè)試用戶

　　當(dāng)我們將Razer設(shè)備插入Windows10時(shí)，操作系統(tǒng)會(huì)自動(dòng)下載并安裝驅(qū)動(dòng)程序和Razer Synapse軟件。

　　由于RazerInstaller.exe可執(zhí)行文件是通過以SYSTEM權(quán)限運(yùn)行的Windows 進(jìn)程啟動(dòng)的，因此Razer安裝程序也獲得了SYSTEM權(quán)限，如下所示。

　　以系統(tǒng)權(quán)限運(yùn)行的RazerInstaller.exe

　　安裝Razer Synapse軟件后，安裝向?qū)г试S您指定要安裝它的文件夾。能選擇安裝文件夾的能力是一切出大問題的地方。

　　當(dāng)您更改文件夾的位置時(shí)，將出現(xiàn)“選擇文件夾”對(duì)話框。如果您按Shift并右鍵單擊該對(duì)話框，系統(tǒng)將提示您打開“在此處打開 PowerShell 窗口”，這將在對(duì)話框中顯示的文件夾中打開PowerShell提示。

　　Razer Synapse安裝提示

　　由于此PowerShell提示符是由具有SYSTEM權(quán)限的進(jìn)程啟動(dòng)的，因此PowerShell提示符也將繼承這些相同的權(quán)限。

　　如下所示，一旦我們打開PowerShell提示符并鍵入“whoami”命令，它就會(huì)顯示控制臺(tái)具有SYSTEM權(quán)限，允許我們發(fā)出我們想要的任何命令。

　　具有SYSTEM權(quán)限的PowerShell提示符

　　正如CERT/CC的漏洞分析師Will Dormann所解釋的那樣， 在Windows即插即用過程安裝的其他軟件中可能會(huì)發(fā)現(xiàn)類似的錯(cuò)誤。

　　Jonhat還分享了Razer Synapse漏洞的視頻演示，可以在下面觀看。

　　雷蛇修復(fù)漏洞

　　高清視頻在此：https://streamable.com/q2dsji

　　在此零日漏洞在推特上引起廣泛關(guān)注后，Razer雷蛇已聯(lián)系安全研究人員，告知廠家將盡快修復(fù)并發(fā)布修復(fù)程序。

　　Razer雷蛇還告訴研究人員，即使該漏洞已公開披露，他也將獲得漏洞獎(jiǎng)勵(lì)。

　　在POC公布之前，是否有人利用此漏洞獲取機(jī)密信息我們無所知曉；但在該零日漏洞修復(fù)之前雷蛇外設(shè)似乎變成了黑客工具，起碼是你想不起來且毫不在意的社工黑客硬件工具。