Ошибка SteelSeries дает права администратора Windows 10 при подключении устройства

35
Microsoft: обслуживание Windows 10 2004 прекращается в декабре

Официальное приложение для установки устройств SteelSeries на Windows 10 можно использовать для получения прав администратора, как выяснил исследователь безопасности.

Использование ошибки возможно в процессе настройки устройства с помощью ссылки на экране лицензионного соглашения, который открывается с правами SYSTEM. Настоящее устройство SteelSeries необязательно для использования этой ошибки.

Эмуляция устройства тоже работает

Открытие было сделано после того, как на выходных появилась новость о том, что программное обеспечение Razer Synapse можно использовать для получения повышенных привилегий при подключении мыши или клавиатуры Razer.

Воодушевленный исследованиями jonhat , исследователь безопасности Лоуренс Амер (руководитель исследовательской группы в 0xsp ) обнаружил, что то же самое может быть достигнуто с помощью программного обеспечения для установки устройств SteelSeries.

Играя в понедельник с недавно приобретенной клавиатурой SteelSeries, исследователь обнаружил уязвимость повышения привилегий, которая позволила ему запустить командную строку в Windows 10 с правами администратора.

Однако программное обеспечение SteelSeries предназначено не только для клавиатур (Apex 7 / Pro). Также устанавливает и позволяет настраивать мыши (Rival 650/600/710) и гарнитуры (Arctis 9, Pro) от производителя; он даже позволяет пользователям управлять RGB-подсветкой игрового коврика для мыши QCK Prism.

Амер начал с подключения клавиатуры и наблюдения за процессом установки, который начался с загрузки программного обеспечения SteelSeries (SteelSeriesGG6.2.0Setup.exe) во временную папку Windows.

Для работы этой атаки не требуется настоящее устройство SteelSeries. Исследователь тестирования на проникновение Иштван Тот опубликовал сценарий с открытым исходным кодом, который может имитировать устройства с интерфейсом пользователя (HID) на телефоне Android, специально для тестирования сценариев локального повышения привилегий (LPE).

Хотя это экспериментальная версия, сценарий может успешно эмулировать устройства Razer и SteelSeries.

После того, как Амер опубликовал свое исследование, Тот опубликовал видео, демонстрирующее, что LPE, обнаруженный Амером, может быть достигнут с помощью его инструмента USB Gadget Generator Tool.

Поиск правильного контекста

Пытаясь найти слабое место, Амер ковырялся, пытаясь найти способ загрузить отсутствующую DLL или EXE из папок, доступных для непривилегированных пользователей, но не нашел ни одного.

Однако он заметил, что приложение для настройки устройства запускалось с правами СИСТЕМЫ сразу после его загрузки. Другой процесс, запущенный с наивысшими привилегиями, предоставил новую возможность для атаки.

Амер попробовал тот же метод, который работал с уязвимостью нулевого дня Razer, но он не сработал, поскольку установка выполняется без вмешательства пользователя.

Исследователю повезло, когда появилось лицензионное соглашение со ссылкой на политику конфиденциальности SteelSeries. При переходе по ссылке открывался диалог выбора запускаемого приложения.

Амер протестировал сценарий на виртуальной машине, для которой не были определены ассоциации файлов. Единственный процесс, доступный для открытия ссылки, – это Internet Explorer, созданный как SYSTEM.

Оттуда можно было просто использовать IE для сохранения веб-страницы и запуска командной строки с повышенными привилегиями из контекстного меню диалогового окна «Сохранить как».

Амер рассказал? что пытался сообщить SteelSeries об уязвимости, но не смог найти общедоступную программу вознаграждения за ошибки или контактного лица по вопросам безопасности продукта.

Исследователь говорит, что уязвимость все еще может быть использована даже после исправления. Злоумышленник может сохранить уязвимый подписанный исполняемый файл, сброшенный во временную папку при подключении устройства SteelSeries, и использовать его при атаке с отравлением DNS.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here