【セキュリティ】Razer製デバイスを接続するだけでシステム権限を取得できる脆弱性

【セキュリティ】Razer製デバイスを接続するだけでシステム権限を取得できる脆弱性
1: おいでよ!ガジェットの森 2021/08/23(月) 15:52:09.84 ID:yZRP0sJI9
Twitterユーザー“jonhat”氏は、Razerのデバイスを接続するだけでWindowsのシステム権限を取得できてしまう脆弱性を報告している。既に複数の海外メディアで報じられている。

Razer製デバイスをWindows 10のPCに接続すると、Windows Update経由でドライバがダウンロードされるのだが、その中で「Razer Synapse」などのユーティリティをインストールするためのインストーラが自動で立ち上がる仕組みが用意されている。問題は、このインストーラがシステム権限で起動していることだ。

このインストーラではインストール先を自由に変更できるのだが、その際のフォルダ選択ウィンドウで任意のフォルダを選択して、Shift+右クリックでコンテキストメニューを出して「PowerShellウィンドウをここで開く」と選択すると、システム権限を持つPowerShellが立ち上がってしまう。こうすると攻撃者はシステムに対し自由に攻撃を行なうことが可能となる。

もちろん、攻撃者はローカルで攻撃をする必要があるが、難易度が低い上に、Razer製デバイスを所持していなくてもデバイスIDを偽装した攻撃が行なえるため、MicrosoftならびにRazerには早急な対策に期待したい。

Impress
https://pc.watch.impress.co.jp/docs/news/1345502.html

8: おいでよ!ガジェットの森 2021/08/23(月) 15:59:00.28 ID:8HLXs0/+0
>>1
すげえ。素人の俺にでも理解できるハッキング手順。最先端製品の開発者って意外とバカなのかな?

3: おいでよ!ガジェットの森 2021/08/23(月) 15:54:24.47 ID:XcvWsJHP0
RAZERって発熱でクソ熱いから夏場は駄目なんだよな

なんとかならんのあれ?

23: おいでよ!ガジェットの森 2021/08/23(月) 16:20:11.30 ID:WthvU5P70
>>19
つまりRazer製マウス持っていってつなげばいいのか

26: おいでよ!ガジェットの森 2021/08/23(月) 16:26:57.47 ID:YAIkFEHz0
>>23
そういう事と思う。
大手企業でもマウスは私物使うの黙認してるし。

9: おいでよ!ガジェットの森 2021/08/23(月) 15:59:24.70 ID:l7Qzz1tS0
Ryzen凄いな。とうとうIntel越えたか

10: おいでよ!ガジェットの森 2021/08/23(月) 15:59:28.62 ID:+tlzCTvc0
所詮はイロモノ、普通はロジクール

12: おいでよ!ガジェットの森 2021/08/23(月) 16:01:40.81 ID:XcvWsJHP0
繋いでなくてもMSアップデート経由でハッキングされるって話だろこれ?

14: おいでよ!ガジェットの森 2021/08/23(月) 16:09:35.08 ID:CmHN9X+q0
クーガー使いの俺高みの見物

17: おいでよ!ガジェットの森 2021/08/23(月) 16:14:10.75 ID:NZw1Ui/i0
ここのヘッドセットのマイクの音小さいから嫌い

18: おいでよ!ガジェットの森 2021/08/23(月) 16:15:32.63 ID:jz06I9XE0
ここのゲーミングノート高いよな
ボッタクリなのか

21: おいでよ!ガジェットの森 2021/08/23(月) 16:17:56.76 ID:cErQ9usp0
これ利用する以前にPCを好きに触れる時点でハッキング完了してるようなもんだし
利用価値は家電量販店のPCにイタズラできるぐらいか
店のPCでマイニングさせるやつとか出てきてもおかしくないな

24: おいでよ!ガジェットの森 2021/08/23(月) 16:23:08.44 ID:Q8ONBAvg0
RAZERのマウスパッド使ってたわ
怖いから捨てた

25: おいでよ!ガジェットの森 2021/08/23(月) 16:25:40.70 ID:J/PXzgY00
Razer製デバイスだと偽装すればいいから
実際にRazer製品かどうかは関係ないのでは

まあ特別なものでもないから
わざわざ偽装しなくても普通にRazer製品持ち込めばいいだろうけど

27: おいでよ!ガジェットの森 2021/08/23(月) 16:28:13.15 ID:fxqRr4440
>攻撃者はローカルで攻撃をする必要があるが

またこのネタかよ。

40: おいでよ!ガジェットの森 2021/08/23(月) 18:40:11.01 ID:otPJm9Wp0
>>27
クラッキングの本領だからな

28: おいでよ!ガジェットの森 2021/08/23(月) 16:29:10.60 ID:EbWvqYlG0
マウスごときでアカウントが必要なデバイスは捨てろ

45: おいでよ!ガジェットの森 2021/08/23(月) 23:22:18.52 ID:WZesyEee0
よくわがんねえが、おらの部屋にはいっておらのパソコンに触れる必要があるってことかな

46: おいでよ!ガジェットの森 2021/08/24(火) 00:25:52.26 ID:+Nrv6soW0
>>45
そうこういうこと
no title

47: おいでよ!ガジェットの森 2021/08/24(火) 10:03:29.29 ID:jfhVGo9+0
>>46
考えてみたらこの手の映画で完全リモートのハッキングなんてほとんど見ないな
それやったら県はかからんのだろうけど画にはならんよな

49: おいでよ!ガジェットの森 2021/08/25(水) 09:41:37.12 ID:YyDYGq//0
ロジクールで良かった
たまにアプリが起動しなくてめんどくさいことになるけど

52: おいでよ!ガジェットの森 2021/08/25(水) 13:12:04.38 ID:+f4moGAv0
Razerは高いくせに良い評価ないから買ったことない、良かった

PC関係カテゴリの最新記事