Software de personalización del teclado, particularmente del teclado convencional marcas, ya es un poco ruidoso. La mayoría están demasiado hinchados para el uso diario o le piden que se registre para obtener una cuenta antes de que pueda configurar nada. Razer y SteelSeries ofrecen software como este para sus alineaciones. de periféricos y tec lados para juegos, y ahora ambos están bajo fuego por tener vulnerabilidades explotadoras de día cero.
Investigador de seguridad Jonhat en Twitter dijeron que descubrió que conectar un Periférico Razer en un PC con Windows 10 le da al usuario un sistema completo privilegios en esa máquina, a pesar del estado de administrador. Sistema Los privilegios son efectivamente el acceso más alto que puede obtener a una PC con Windows.. Por lo general, ese acceso está reservado para el propietario de la computadora portátil o computadora. Pero en este caso, en teoría, cualquiera podría pasar, conectar un mouse Razer e instalar lo que quiera, incluido el malware.
BleepingComputadora probó la vulnerabilidad para confirmarla. Después de conectar un mouse Razer, tomó aproximadamente dos minutos obtener el sistema completo privilegios en Windows 10. El mouse está programado para instale el controlador Razer apropiado y el software Synapse que lo acompaña una vez que esté conectado. Synapse es lo que le permite cambiar la iluminación de fondo y programar las capacidades de un Razer teclado o ratón. También es una oportunidad adicional para que Razer le venda las ventajas de elegir sus accesorios, razón por la cual la empresa desea que el software se instale inmediatamente después de la compra.
Para su parte, Razer llegado al investigador de seguridad original para confirmar que actualmente está trabajando en una solución para abordar estos problemas. Razer también respondió por separado a El registro: “Hemos investigado el problema, actualmente estamos realizando cambios en la aplicación de instalación para limitar este caso de uso y lanzaremos una versión actualizada en breve. El uso de nuestro software (incluida la aplicación de instalación) no proporciona acceso de terceros no autorizados a la máquina “.
Es un caso similar para el fabricante de teclados y ratones para juegos. SteelSeries, que hace Motor SteelSeries software para cambiar la iluminación y programar macros en determinados teclados SteelSeries. Esto incluye el Apex Pro, que es uno de los mejores de Gizmodo. teclados mecánicos para juegos por su accionamiento regulable. Pero para habilitar esa capacidad, necesita el software.
G / O Media puede obtener una comisión
Sinvestigador de seguridad Lawrence Amer encontró el software SteelSeries Engine también puede explotarse para obtener derechos administrativos. Tiene una vulnerabilidad similar a la de Razer. que permite el acceso al símbolo del sistema en Windows 10 con capacidad de administración completa, lo cual es posible simplemente desde enchufar un teclado SteelSeries. En una respuesta para BleepingComputadora, SteelSeries dijo es consciente del problema y que “deshabilitó proactivamente el inicio del instalador SteelSeries que se activa cuando se conecta un nuevo dispositivo SteelSeries”.
Esta no es la primera vez que Razer ha enfrentado escrutinio por no proteger a sus usuarios. Otros fabricantes de periféricos, como El teclado y Logitech, también han tenido fallas de seguridad dentro de sus respectivos programas. Es frustrante para los usuarios que no tienen otra opción para personalizar teclados y ratones caros. No hay muchos abiertosopciones de origen disponibles y las que existen tienden a estar orientados hacia fabricantes independientes de teclados y periféricos.
El otro problema aquí es que Windows permite este tipo de acceso simplemente conectando un periférico. Es posible que haya elegido un tipo específico de teclado o mouse para su computadora, pero simplemente conectar un dispositivo no debería significar el consentimiento automático al software con acceso de nivel administrativo. Tanto Razer como SteelSeries habrían estado mejor si le indicaran que descargara el software de sus respectivos sitios web. Al menos de esa manera, hay una ilusión de elección.
.