近期,有一名白帽黑客發現了一個奇怪的漏洞,只要插入雷蛇(Razer)的滑鼠,並且安裝滑鼠專屬了軟體 Synapse,用戶竟然就能在 Windows 10 電腦上獲得系統的完全管理權限!而且,還不只僅限於雷蛇(Razer)的產品。
插入雷蛇(Razer)的滑鼠 就能獲得 Win10 的最高權限!?
不只是發現雷射滑鼠漏洞的白帽黑客,在其他硬體產品上也有同樣的漏洞,一名 Twitter 的用戶 @zux0x3a 在賽睿(SteelSeries)的耳機、滑鼠、鍵盤上也有類似的問題,這項漏洞的主因在於硬體的專屬軟體,他可以在沒有取得系統管理員權限的情況下賦予自己系統管理權限。
所以理論上來說,只要有心人士趁你不注意在你的辦公電腦插入相關的產品,安裝 Synapese 或 SteelSeriesGG,就可能對你的公司帶來嚴重的威脅。
很多人一定認為這是 SteelSeries 或 Razer 的問題,其實更大的原因是微軟 Windows 10 的問題,Windows 不能區分硬體驅動程式(通常不需要權限來安裝)和周邊相關的軟體(需要管理權限)。
不過因為這個漏洞需要真人實際到現場才能觸發,所以只需要確保你不在的時候電腦是鎖屏的,並且在 Windows 裡設定不要自動安裝下載硬體製造商的應用程式(不過如果你插入新的設備的時候,安裝驅動可能就會比較麻煩)即可避免危險性。
it is not only about @Razer.. it is possible for all.. just another priv_escalation with @SteelSeries https://t.co/S2sIa1Lvjv pic.twitter.com/E3NPQnxqo2
— Lawrence 勞倫斯 (@zux0x3a) August 23, 2021
所以理論上來說,只要有心人士趁你不注意在你的辦公電腦插入相關的產品,安裝 Synapese 或 SteelSeriesGG,就可能對你的公司帶來嚴重的威脅。
很多人一定認為這是 SteelSeries 或 Razer 的問題,其實更大的原因是微軟 Windows 10 的問題,Windows 不能區分硬體驅動程式(通常不需要權限來安裝)和周邊相關的軟體(需要管理權限)。
不過因為這個漏洞需要真人實際到現場才能觸發,所以只需要確保你不在的時候電腦是鎖屏的,並且在 Windows 裡設定不要自動安裝下載硬體製造商的應用程式(不過如果你插入新的設備的時候,安裝驅動可能就會比較麻煩)即可避免危險性。