Un ricercatore di sicurezza ha segnalato una falla nel software di Razer che permette di prendere il controllo di un PC a chiunque colleghi una periferica: la segnalazione e il video su Twitter.
Problemi di sicurezza per Razer, importante azienda statunitense di hardware di gioco: lo ha scoperto il ricercatore di sicurezza jonhat, che lo ha annunciato sul proprio account Twitter con un video illustrativo allegato. È sufficiente collegare un mouse o una tastiera Razer ad un PC per diventarne l’amministratore e prenderne controllo.
A quanto pare la vulnerabilità è dovuta al programma di gestione Razer Synapse: collegando una periferica Razer al computer, Razerinstaller.exe viene automaticamente eseguito con privilegi SYSTEM tramite Windows Update.
LEGGI ANCHE >>> DAZN, primi intoppi: segnale debole e bassa definizione. Come risparmiare traffico dati
Allarme sicurezza per Razer, ecco come i malintenzionati possono sfruttare la falla nel software
Need local admin and have physical access?
– Plug a Razer mouse (or the dongle)
– Windows Update will download and execute RazerInstaller as SYSTEM
– Abuse elevated Explorer to open Powershell with Shift+Right clickTried contacting @Razer, but no answers. So here’s a freebie pic.twitter.com/xDkl87RCmz
— jonhat (@j0nh4t) August 21, 2021
Ciò consente ad un utente malintenzionato di scegliere una differente cartella di destinazione durante la procedura: con Shift + tasto destro del mouse è possibile aprire dal menù contestuale Windows PowerShell, con privilegi di amministratore, ed eseguire qualsiasi comando. Il bug funziona sia su Windows 10 che sulla versione beta di Windows 11. Questa falla di sicurezza è utilizzabile soltanto da locale, vale a dire, avendo l’accesso fisico al computer, perciò non è da considerarsi molto pericolosa.
LEGGI ANCHE >>> iPhone 13, improvviso dietrofront di Apple su una delle caratteristiche più attese
Non si può tralasciare però che non servono particolari abilità informatiche per sfruttarla. jonhat aveva deciso di rendere pubblica la notizia dopo numerosi tentativi di contattare direttamente Razer andati a vuoto. In seguito alla pubblicazione del tweet, l’azienda californiana ha comunicato che rilascerà un aggiornamento del Razer Synapse il più presto possibile, e che il ricercatore sarà ricompensato.