Actualités

Razer Synapse : quand une mise à jour firmware permet une élévation privilège et une exécution malveillante de code sous Windows 10 ! (plug-and-pray…)

Comme toute chose, les branchements ou connexions automatiques – tel que le plug-and-play initié par Microsoft – de périphériques ou d’accessoires à un terminal Windows n’est pas souvent un acte aisé : si, en général, ce simple branchement – en USB par exemple – se fait de manière désormais anodine, il arrive, parfois, que cela conduit à une erreur-système voire, ici, à une vulnérabilité…

 

 

Depuis le 29 Juillet 2021, tifkin_ (Lee Christensen) alertait grandement sur Twitter en démontrant, depuis un autre PoC de l’équipe sécuritaire du groupe Delos – en partenariat avec F-Secure et Pulse Security – que certaines actions automatisées pouvait conduire à une exploitation malveillante. Dans l’exemple de Razer, un simple branchement (USB) avec un accès Internet viable ou fonctionnel permettait d’accéder à l’invite Shell… Un peu plus d’un mois plus tard, cet exploit est observé par j0nh4t (jonhat) qui, au 21 Août 2021, confirme une élévation de privilèges (administrateur…) en local : une fois la souris Razer pluggée, Windows Update s’amorce pour trouver la dernière mise à jour et lance RazerInstaller “en tant que System“. De là, il est possible de contourner aisément et sans grande difficulté l’ensemble en alignant quelques commandes sous PowerShell via MAJ + clic-droit de la souris. Une récurrence ou persistance de cette brèche peut être maintenue en ciblant spécifiquement le processus qui permet cette génération automatique de la mise à jour.

 

Suite à cela, le fabricant a répondu aux deux intervenants en date du 22 Août 2021 en confirmant qu’un correctif était en cours de préparation (alors que la vulnérabilité était signalée, donc, depuis Juillet dernier) et qu’il serait bientôt déployé. PoC divulgué publiquement ou non, une prime a été consentie à jonhat (et tifkin_… ?). En notant, en aparté, que Will Dormann (CERT-CC) estime que, partant de cet exploit, d’autres failles du même acabit (initialisant une actualisation ou mise à jour du composant plug-and-play, notamment) sont à craindre… A veiller !




  • 100% J'apprécieVS
    0% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.11.4a