Comme toute chose, les branchements ou connexions automatiques – tel que le plug-and-play initié par Microsoft – de périphériques ou d’accessoires à un terminal Windows n’est pas souvent un acte aisé : si, en général, ce simple branchement – en USB par exemple – se fait de manière désormais anodine, il arrive, parfois, que cela conduit à une erreur-système voire, ici, à une vulnérabilité…
Need local admin and have physical access?
– Plug a Razer mouse (or the dongle)
– Windows Update will download and execute RazerInstaller as SYSTEM
– Abuse elevated Explorer to open Powershell with Shift+Right clickTried contacting @Razer, but no answers. So here's a freebie pic.twitter.com/xDkl87RCmz
— jonhat (@j0nh4t) August 21, 2021
Depuis le 29 Juillet 2021, tifkin_ (Lee Christensen) alertait grandement sur Twitter en démontrant, depuis un autre PoC de l’équipe sécuritaire du groupe Delos – en partenariat avec F-Secure et Pulse Security – que certaines actions automatisées pouvait conduire à une exploitation malveillante. Dans l’exemple de Razer, un simple branchement (USB) avec un accès Internet viable ou fonctionnel permettait d’accéder à l’invite Shell… Un peu plus d’un mois plus tard, cet exploit est observé par j0nh4t (jonhat) qui, au 21 Août 2021, confirme une élévation de privilèges (administrateur…) en local : une fois la souris Razer pluggée, Windows Update s’amorce pour trouver la dernière mise à jour et lance RazerInstaller “en tant que System“. De là, il est possible de contourner aisément et sans grande difficulté l’ensemble en alignant quelques commandes sous PowerShell via MAJ + clic-droit de la souris. Une récurrence ou persistance de cette brèche peut être maintenue en ciblant spécifiquement le processus qui permet cette génération automatique de la mise à jour.
Hi there, Lee! Thanks for bringing this to our attention. We'd like to further assist you with your case. Please drop us a DM and let's continue from there.
— RΛZΞR Support (@RazerSupport) August 22, 2021
Suite à cela, le fabricant a répondu aux deux intervenants en date du 22 Août 2021 en confirmant qu’un correctif était en cours de préparation (alors que la vulnérabilité était signalée, donc, depuis Juillet dernier) et qu’il serait bientôt déployé. PoC divulgué publiquement ou non, une prime a été consentie à jonhat (et tifkin_… ?). En notant, en aparté, que Will Dormann (CERT-CC) estime que, partant de cet exploit, d’autres failles du même acabit (initialisant une actualisation ou mise à jour du composant plug-and-play, notamment) sont à craindre… A veiller !