Razer 滑鼠評測 最強入侵Windows 10神器

Razer 滑鼠係電競玩家至愛,但又點估到佢亦係入侵 Windows 10 嘅神器?專家發現 Razer 自動安裝過程存在漏洞,可以好輕易令一個普通 Windows 帳戶,提升至系統管理者帳戶,即係好似開咗 God mode 咁想點都得。《爆機自由仁》(Free Guy)加埋呢個情節就正喇!

目錄

Razer滑鼠人氣電競產品

USB自動安裝權限過大

漏洞公開賞金照俾

Razer 滑鼠人氣電競產品

在電競世界, Razer (雷蛇)的打機設備銷量一齊高企,無論在產品設計及精確度方面, Razer 都勝人一籌,因此 Razer 曾公布全球共有超過一億打機設備用家。正因為客戶群龐大,亦代表好多人可以利用這個安裝流程漏洞,入侵其他 Windows 10 電腦,只要隨身袋住一個滑鼠就得,認真防不勝防。

USB自動安裝權限過大

即插即用(Plug and Play)的 USB 裝置,曾多次被發現存在安全漏洞,可通過自動安裝程序入侵電腦,例如華為(Huawei)的 4G USB上網手指 E3372 便曾被發現可用於入侵。今次網絡安全專家 jonhat 所發現的漏洞出在 Razer Synapse 安裝程序上, Razer Synapse 是 Razer 用於管理及控制電腦週邊設備如滑鼠、鍵盤的工具,只要在電腦插入上述產品,電腦就會自動執行及安裝 Synapse 工具。但在安裝過程中, jonhat 發現它存在的漏洞,竟可讓普通用戶取得系統管理者權限。 Jonhat 在 twitter 上解釋,只要在 Synapse 安裝程序詢問用戶在硬碟何處安裝工具的畫面上,同時按電腦的 Shift 鍵及點擊滑鼠右掣, Windows PowerShell 介面就會彈出,而由於在選擇安裝位置的過程中 Razer Synapse 是擁有系統管理者權限,因此連帶 PowerShell 亦有同等權限,之後用戶只要在 PowerShell 上輸入「whoami」通關密碼,就可以在電腦上進行任何事情,整個過程只須兩分鐘!

漏洞公開賞金照俾

雖然 jonhat 是因為向 Razer 舉報漏洞後,因未有獲得任何回應才公開漏洞詳情,但 Razer 在事件曝光後已火速連繫 jonhat 並指會盡快推出更新檔補鑊,同時更指即使漏洞內容已公開,仍然會給予賞金答謝。相信 Razer 方面必須改革舉報機制,確保可以直達管理層,否則便不會發生今次通天事件。

詳情:https://bit.ly/2Wf77vH