Подключение клавиатуры позволяет захватить права администратора Windows 10

Эксперты по кибербезопасности обнаружили, что ошибка в официальном приложении, которое помогает устанавливать устройства SteelSeries на Windows 10, может быть использована для получения прав администратора.

Подключение клавиатуры может позволить вам захватить права администратора Windows 10. Фото: Pexels

Эксплойт был обнаружен исследователем в области безопасности Лоуренсом Амером, который узнал об уязвимости нулевого дня, выявленной в механизме установки мышей Razer по принципу plug-and-play.

Задавшись вопросом, можно ли добиться того же с другими устройствами, Амер обнаружил, что механизм установки Plug-and-Play устройств SteelSeries также можно использовать.

Из сообщения Лоуренса Амера, исследователя безопасности:

«Поскольку оболочка процесса этого программного обеспечения работает с привилегиями SYSTEM, злоумышленник может использовать путь установки для запуска командной строки с тем же разрешением»

Подробно описывая процесс, Амер отмечает, что он попробовал несколько вещей, прежде чем обнаружил, что может получить повышенные привилегии в процессе настройки клавиатуры SteelSeries, используя ссылку на экране лицензионного соглашения, который открывается с привилегиями SYSTEM.

Злоумышленники могут воспроизвести это поведение даже без использования реального устройства SteelSeries, благодаря сценарию, написанному исследователем тестирования на проникновение Иштваном Тотом. Его можно использовать для имитации устройств с HID на телефонах Android .

Сценарий, разработанный специально для тестирования атак с повышением привилегий на локальном уровне, может успешно эмулировать устройства Razer и SteelSeries.

После того, как Амер опубликовал своё исследование, Тот опубликовал в Твиттере видео, показывающее, что эксплойт может быть воспроизведён на устройствах, виртуализированных с помощью его сценария.

SteelSeries известно об исследовании, из-за которого теперь отключён автоматический запуск установщика при подключении устройства. Проблема решается.

Startpack подготовил перечень антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме