خطأ: يمنح Razer Synapse حقوق مسؤول Windows عند توصيل الماوس أو لوحة المفاتيح

خطأ: يمنح Razer Synapse حقوق مسؤول Windows عند توصيل الماوس أو لوحة المفاتيح

يبدو أن الحصول على حقوق مسؤول Windows على جهاز الكمبيوتر لا يتطلب الكثير من العمل؛ كل ما تحتاجه هو الوصول الفعلي وماوس أو لوحة مفاتيح Razer. وهذا نتيجة لثغرة يوم الصفر في برنامج الشركة الشهير Synapse، والذي يستخدم عملية تثبيت التوصيل والتشغيل.

اكتشف الباحث الأمني ​​جونهات الخطأ على تويتر (عبر BleepingComputer ). وهو يشرح كيف يمكن لأي شخص الحصول على امتيازات النظام على أجهزة Windows بمجرد توصيل الماوس أو لوحة المفاتيح أو دونجل Razer، مما يمنحه التحكم الكامل في النظام ويسمح بتثبيت البرامج غير المصرح بها، بما في ذلك البرامج الضارة.

تبدأ العملية بتوصيل أحد الأجهزة الطرفية الخاصة بـ Razer. سيؤدي هذا إلى قيام Windows بتنزيل برنامج التشغيل والبرنامج Razer Synapse وتثبيته تلقائيًا. تتضمن المشكلة تشغيل ملف RazerInstaller.exe القابل للتنفيذ بامتيازات على مستوى النظام حتى يتمكن من إجراء تغييرات على جهاز الكمبيوتر.

أثناء عملية التثبيت، يسمح معالج التثبيت للمستخدمين بتحديد المكان الذي يريدون تثبيت برنامج Razer Synapse فيه. عندما تقوم بتغيير المجلد الوجهة، يظهر مربع الحوار تحديد مجلد. Shift، وانقر بزر الماوس الأيمن هنا وحدد “فتح نوافذ Powershell هنا”. سيؤدي هذا إلى فتح مطالبة Powershell بنفس امتيازات النظام مثل العملية التي أطلقتها.

ويقول الباحثون إنه من المحتمل أن تكون هناك أخطاء مماثلة في أدوات التثبيت الخاصة بالشركات الأخرى للأجهزة الطرفية الخاصة بالتوصيل والتشغيل.

أكبر تحذير هنا هو أن أي شخص ينوي استخدام الثغرة لأغراض شائنة سيحتاج إلى الوصول الفعلي إلى الجهاز المعني – بالإضافة إلى منتج Razer – ولكن هذا لا يزال له عواقب وخيمة محتملة.

وأضاف Jonhut أنه تواصل مع فريق Razer الأمني ​​ويعملون على حل المشكلة. وأضاف الباحث أنه عرض عليه مكافأة رغم كشفه عن الخطأ علناً. توقع أن يصدر Razer تحديثًا يعالج هذه المشكلة قريبًا جدًا.