マウスを接続するだけでWindows 10の管理者になれるRazer社の脆弱性が発見される:SYSTEM権限が得られる脆弱性

Razer Synapseのゼロデイ脆弱性がTwitterで公開され、Razerのマウスやキーボードを接続するだけでWindowsの管理者権限を取得できることがわかりました。

Razerは、ゲーミングマウスやキーボードで知られる非常に人気の高いコンピュータ周辺機器メーカーです。

Razer社のデバイスをWindows 10またはWindows 11に接続すると、OSが自動的にRazer Synapseソフトウェアをダウンロードし、コンピュータへのインストールを開始します。Razer Synapseは、ユーザーがハードウェアデバイスを設定したり、マクロを設定したり、ボタンをマッピングしたりすることができるソフトウェアです。

Razer社は、同社のRazer Synapseソフトウェアが世界中で1億人以上のユーザーに使用されているとコメントしています。

セキュリティ研究者のjonhat氏は、プラグアンドプレイでインストールされるRazer SynapseにWindowsデバイス上でSYSTEM権限を迅速に取得できるゼロデイ脆弱性を発見しました。

SYSTEM権限は、Windowsで利用可能な最高のユーザー権限であり、OS上であらゆるコマンドを実行することができます。基本的に、ユーザーがWindowsのSYSTEM権限を取得すると、システムを完全に制御できるようになり、マルウェアを含めて好きなものをインストールできるようになります。

Razer社からの回答が得られなかったため、jonhat氏は昨日Twitterでゼロデイ脆弱性を公開し、バグがどのように機能するかを短いビデオで説明しました。

BleepingComputerはRazerのマウスを利用して、この脆弱性を試してみることにしました。その結果、マウスを接続してから約2分でWindows 10のSYSTEM権限を取得できることを確認しました。

なお、これはローカル特権昇格(LPE)の脆弱性であるため、Razerのデバイスとコンピュータへの物理的なアクセス権が必要となります。

とはいえ、Amazonで20ドルのRazerマウスを購入し、それをWindows 10に接続するだけで管理者になれるので、このバグを悪用するのはとても簡単です。

このバグをテストするため、私たちのWindows 10コンピュータの1台に、以下のように、管理者ではない標準的な権限を持つ一時的な「Test」ユーザーを作成しました。

RazerデバイスをWindows 10に接続すると、OSは自動的にドライバーとRazer Synapseソフトウェアをダウンロードしてインストールしました。

RazerInstaller.exe実行ファイルは、SYSTEM権限で実行されているWindowsプロセスを介して起動されたため、RazerインストールプログラムもSYSTEM権限を獲得しました。

Razer Synapseソフトウェアがインストールされると、セットアップ・ウィザードによりインストール先のフォルダを指定することができます。

フォルダの場所を変更すると、「Choose a Folder」ダイアログが表示されます。Shiftを押しながらダイアログを右クリックすると、「Open PowerShell window here」というプロンプトが表示され、ダイアログに表示されているフォルダにPowerShellプロンプトが開かれます。

このPowerShellプロンプトは、SYSTEM権限を持つプロセスによって起動されるため、PowerShellプロンプトも同じ権限を継承します。

PowerShellプロンプトを開いて「whoami」コマンドを入力すると、コンソールがSYSTEM権限を持っていることが表示され、任意のコマンドを発行することができます。

CERT/CCの脆弱性アナリストであるWill Dormann氏の説明によると、同様の脆弱性はWindowsのプラグアンドプレイでインストールされる他のソフトウェアにも見つかる可能性が高いとのことです。

また、Razer Synapseの脆弱性については、jonhat氏によるデモ動画が公開されています

Razer社による脆弱性の修正

このゼロデイ脆弱性がTwitterで広く注目された後、Razer社はセキュリティ研究者に連絡を取り、修正プログラムを発行することを通知しました。

またRazer社は、バグバウンティ報酬を受け取ることになるとセキュリティ研究者に伝えています。

Leave a Reply

Your email address will not be published.