Seguridad

Descubierto 0day crítico en software para periféricos Razer

Razer es una de las empresas más importantes del mundo gaming. Especialmente se le conoce por sus populares periféricos y componentes para los equipos, tales como ratones, teclados, micrófonos, cascos…

Y es en uno de estos periféricos donde el investigador de seguridad Jonhat, más popular en redes como @j0nh4t, ha descubierto un 0day de carácter crítico. Dicha vulnerabilidad permitía a un atacante escalar directamente a SYSTEM, es decir, permitía ejecutar comandos como administrador.

Este fallo se encuentra en el software de la compañía llamado Razer Synapse. Más concretamente en el asistente de instalación del mismo, que se inicia automáticamente al conectar el periférico al ordenador.

La explotación de esta vulnerabilidad es sencilla y viene dada por diferentes factores.

Primeramente, el ejecutable que instala dicho software se ejecuta como SYSTEM, es decir, como administrador. Por otra parte, aunque pueda no destacar en una primera instancia, el instalador nos permite seleccionar donde queremos instalar el software.

Desde aquí, es posible abrir una consola PowerShell a partir del instalador, es decir, con los permisos de administrador.

Respuesta de la compañía

Desde Razer, han agradecido al investigador de seguridad por su trabajo, añadiendo que recibirá una recompensación económica a pesar de haber hecho pública la vulnerabilidad. Así mismo, han anunciado que están trabajando para solucionar esta vulnerabilidad con la mayor brevedad posible.

Referencias

Razer bug lets you become a Windows 10 admin by plugging in a mouse (bleepingcomputer.com)

jonhat en Twitter: «Need local admin and have physical access? – Plug a Razer mouse (or the dongle) – Windows Update will download and execute RazerInstaller as SYSTEM – Abuse elevated Explorer to open Powershell with Shift+Right click Tried contacting @Razer, but no answers. So here’s a freebie https://t.co/xDkl87RCmz» / Twitter

La entrada Descubierto 0day crítico en software para periféricos Razer se publicó primero en Una al Día.

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.