Posiadacze sprzętów marki Razer, a zwłaszcza myszek i klawiatur, powinni (przynajmniej przez najbliższy czas) uważać na komputery z zainstalowanym oprogramowaniem Razer Synapse. Wystarczy bowiem podłączenie gryzonia, by… łatwo uzyskać uprawnienia administratora.
Ostatnio praktycznie co kilka dni pojawiają się w sieci nowe informacje na temat luk w bezpieczeństwie popularnych usług czy oprogramowania. Tym razem trafiło na Razera, który nieopatrznie przygotował użytkownikom myszek tego producenta możliwość szybkiego przejęcie kontroli nad komputerem.
Okazało się bowiem, że oprogramowanie Razer Synapse, które służy do zarządzania peryferiami tej firmy, posiada dość sporą dziurę w zabezpieczeniach. Co ważne, jej mechanizm jest bardzo prosty do zastosowania.
Wystarczy bowiem podłączyć mysz lub klawiaturę marki Razer do komputera, co skutkuje uruchomieniem aktualizacji systemu Windows, a także startem pliku wykonawczego RazerInstaller.exe – dość zaskakująco, ten plik został domyślnie wyposażony w uprawnienia administratora. To oznacza, że wystarczy jedynie podpięcie akcesorium do komputera, by w szybki sposób uzyskać nieograniczony dostęp zarówno do plików, jak i ustawień komputera.
Co ważne, poszukiwacze błędów w zabezpieczeniach podkreślają, że podobny problem może dotyczyć oprogramowania także innych firm, które pozwalają na zarządzanie akcesoriami w podobny sposób do Razer Synapse.
Oczywiście skorzystanie z tej luki nie jest proste – wymaga bowiem fizycznego dostępu do naszego komputera, więc w znakomitej większości przypadków jest to związane np. z jego kradzieżą. Warto także wspomnieć o tym, że Razer już pracuje nad specjalną łatką, która ma usunąć wspomnianą lukę.
Tak czy owak – w takiej sytuacji zdecydowanie warto mieć się na baczności.
Zostaliśmy poinformowani o sytuacji, w której nasze oprogramowanie, w bardzo konkretnym przypadku użycia, daje użytkownikowi szerszy dostęp do jego komputera podczas procesu instalacji.
Zbadaliśmy ten problem i obecnie wprowadzamy zmiany do aplikacji instalacyjnej, które ograniczą powyższą możliwość zastosowania. Wkrótce udostępnimy zaktualizowaną wersję aplikacji. Korzystanie z naszego oprogramowania (w tym aplikacji instalacyjnej) nie pozwala osobom trzecim na nieautoryzowany dostęp do urządzenia.
Dążymy do zapewnienia cyfrowego bezpieczeństwa wszystkich naszych systemów i usług, a jeśli natkniesz się na jakiekolwiek potencjalne błędy, zachęcamy do ich zgłaszania za pośrednictwem naszej usługi (typu bug bunty) Inspectiv: : https://app.inspectiv.com/#/sign-up
Niektóre odnośniki na stronie to linki reklamowe.