Windows-Rechteausweitung über Co-Installer von Razer Synapse (SYSS-2021-058)

Ein Security Advisory von IT Security Consultant Dr. Oliver Schwarz

In unserem neuen SySS-Proof-of-Concept-Video demonstrieren die IT-Sicherheitsexperten Dr. Oliver Schwarz und Matthias Deeg die lokale Windows-Rechteausweitung über einen Installer des Gaming-Controller-Herstellers Razer (Razer Synapse). Da der Installer auf Standard-Windows-Installationen automatisch startet, wenn entsprechende Hardware angeschlossen wird, waren die meisten Windows-Rechner daher von dieser – mittlerweile behobenen – Schwachstelle betroffen, unabhängig von vorinstallierter Software. Für den Angriff genügte überdies physischer Zugang zum Rechner, ein Standard-User-Konto und Hardware, die sich als Razer-Gaming-Controller ausgab. Außerdem lassen sich solche Geräte bereits für wenige Euro erwerben.

Die von der SySS im Oktober 2021 gefundene Schwachstelle erinnert darüber hinaus stark an eine andere Verwundbarkeit in Razer-Installern, welche zuvor gefunden wurde und ebenfalls im letzten Jahr für Aufmerksamkeit sorgte. Erstere nutzt allerdings einen anderen Umstand aus, nämlich, dass der Installer der Zusatzsoftware Razer Synapse ausführbare Dateien in ein Verzeichnis ablegt, welches Standard-User vor der Installation beschreiben können. Legten User vor der Erstinstallation von Synapse entsprechende Unterverzeichnisse an, blieben sie auch nach der Installation deren Besitzer und konnten Zugriffsrechte nach Belieben ändern, ausführbare Dateien überschreiben und schadhafte Bibliotheken (DLL-Dateien) hinzufügen. Man konnte den Synapse-Dienst dadurch dazu bringen, von Standard-Usern definierte Aktionen auszuführen, und zwar mit höchsten Berechtigungen.

Razer hat die Schwachstelle mittlerweile behoben. Überdies wird bei der Treiberinstallation automatisch die neueste Version von Razer Synapse heruntergeladen. Somit müssen Admins nicht aktiv werden, um Angriffe zu verhindern. Zusätzlich gibt das Advisory allerdings Empfehlungen, wie Systeme durch einen Registry-Eintrag gegenüber ähnlichen Angriffen durch andere Co-Installer gehärtet werden können.

Ein ausführlicher Beitrag in englischer Sprache findet sich hier im SySS Tech Blog.

Detaillierte Informationen zu der gefundenen Schwachstelle finden Sie in unserem Security Advisory / You will find detailed information about these security issues in our Security Advisory:

Weitere Informationen über unsere Responsible Disclosure Policy bei der Veröffentlichung von Security Advisories finden Sie hier.

You will find further information about our Responsible Disclosure Policy concerning the publishing process of SySS Security Advisories here.

 

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de | IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer

Direkter Kontakt

+49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN

+49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer