Více
    4.3 C
    Czech
    Sobota, 26 listopadu, 2022

    Bezpečnostní chyba umožňuje získání administrátorských práv ve Windows 10 pomocí periferií Razer

    DOPORUČUJEME

    NEJČTENĚJŠÍ

    V softwaru Razer Synapse byla objevena znepokojivá bezpečnostní chyba, kterou lze zneužít k získání práv správce v operačním systému Windows 10.

    Při používání systému Windows 10 je běžný uživatel omezen v provádění změn v systému, pokud nemá všechna potřebná oprávnění. Uživatel vystupující na Twitteru pod přezdívkou „jonhat“ zveřejnil bezpečnostní chybu, díky které může neoprávněný uživatel získat přístup k právům správce. Příspěvek obsahuje video, které ukazuje, jak jednoduché je zneužít nově objevenou bezpečnostní chybu.

    Po připojení zařízení Razer načte Windows instalační program Razer obsahující software ovladače a nástroj Synapse. V rámci instalační procedury se otevře okno Průzkumníka, které uživatele vyzve k výběru místa, kam má být ovladač nainstalován. Tato instalační rutina je spuštěna se zvýšenými právy správce, což jsou nejvyšší práva dostupná v systému Windows 10.

    Jonhat zjistil, že pokud se uživatel rozhodne změnit výchozí umístění instalační složky, což vyvolá dialogové okno „Vyberte složku“, může uživatel kliknout pravým tlačítkem myši na instalační okno a stisknutím klávesy Shift otevřít terminál Powershell s právy správce.

    Chyba se dá využít i bez periferií Razer

    Další uživatel v reakci na tweet tvrdil, že tento typ útoku funguje také s jakoukoli myší Asus ROG. Ta vyzve k instalaci Armory Crate a spustí ji se stejnými zvýšenými systémovými právy. Někteří uživatelé dokonce ukázali, že k využití bezpečnostní chyby není potřeba ani žádná periferie. Uživatel an0n_r0 na Twitter zveřejnil video, kde stejnou chybu zneužil jen pomocí Android telefonu.

    Společnost Razer poté poskytla své prohlášení a ujistila, že její bezpečnostní tým pracuje na opravě:

    „Byli jsme upozorněni na situaci, kdy náš software ve velmi specifickém případě použití poskytuje uživateli širší přístup k jeho počítači během procesu instalace,“ uvedla společnost. „Problém jsme prošetřili a v současné době provádíme změny v instalační aplikaci, abychom tento případ použití omezili. Použití našeho softwaru (včetně instalační aplikace) neumožňuje neoprávněný přístup třetích stran k počítači.“

    „Jsme odhodláni zajistit digitální bezpečnost a zabezpečení všech našich systémů a služeb, a pokud narazíte na jakékoli potenciální nedostatky, vyzýváme vás, abyste je nahlásili prostřednictvím naší služby odměn za chyby Inspectiv: https://app.inspectiv.com/#/sign-up,“ dodala společnost.

    Přestože uživatel jonhat zveřejnil chybu veřejně, nabídla mu společnost odměnu za zjištění chyby. Jakou částku mu ale nabídla už uživatel neuvedl.

    Sledujte nás na sítích

    NEJNOVĚJŠÍ

    VYBRALI JSME PRO VÁS