研究员公开Razer 0day，插入鼠标即可获得Windows管理员权限

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

Razer 是非常有名的计算机周边制造商，尤以游戏鼠标和键盘出名。当把 Razer 设备插入 Windows 10 或 Windows 11 机器时，该操作系统将自动下载并安装 Razer Synapse 软件。Razer Synapse 软件使用户能够配置硬件设备、设置宏或映射按钮。

Razer 公司声称 Razer Synapse 软件的用户遍布全球，超过1亿人。

Jonhat 在 Razer Synpase 安装中发现了一个 0day，可导致用户快速获得 Windows 设备上的系统权限即Windows中的最高用户权限，可在操作系统上执行任意命令，完全控制系统并随心所欲地安装任意应用，包括恶意软件在内。

未从 Razer获得回复后，jonhat 公开该0day并解释了其工作原理。

BleepingComputer 记者通过 Razer 鼠标测试了该漏洞并证实了 jonhat 的说法。在 Windows 10 插入鼠标后，大概两分钟就获得了系统权限。

需要注意的是，该0day使本地提权漏洞，意味着攻击者必须拥有一台 Razer 设备以及能够物理访问计算机。尽管如此，只需花20美元即可购得 Razer 鼠标并插入Windows 10 机器，成为 Windows 管理员。

测试该0day时，测试者在 Windows 10 机器上创建了一个临时用户 “Test”，用户权限是标准的非管理员权限。

在 Windows 10 中插入 Razer 设备后，操作系统自动下载并安装了驱动以及 Razer Synapse 软件。

由于 RazerInstaller.exe 可执行文件是通过以系统权限运行的 Windows 进程启动的，因此 Razer 安装进程也获得系统权限。

安装 Razer Synapse 软件时，设置工具允许用户指定安装文件夹——而这正是事情开始出错的地方。更改文件夹位置时将会出现“选择文件夹”的对话。如果按下Shift键并右击该对话，用户将被提示打开“在此处打开PowerShell 窗口”，在对话显示的文件夹中打开 PowerShell 提示框。

由于该 PowerShell 提示框是由具有系统权限的进程启动的，因此 PowerShell 提示框也将继承同样的权限。

 一旦打开 PowerShell 提示框并输入 “whoami” 命令，它会显示该控制台具有系统权限，允许测试者发布任意想要的命令。

研究员 Will Dormann 解释称，Windows 即插即用进程安装的其它软件中也可能存在类似漏洞。

该 0day 引发广泛关注后，Razer 公司联系jonhat 并表示将修复该漏洞。

尽管jonhat 公开披露了该0day，但 Razer 公司表示仍然将颁发赏金。