Achtung! Taugt Ihre Maus zum Hackerwerkzeug? Gefährlicher Bug in Razer Maus-Software!
von Svenja Koch
So erlangt der Angreifer administrativen Zugang über eine Razer-Maus oder einen Dongles bei drahtlosen Geräten
Ein wichtiger Schutzmechanismus bei aktuellen Windows-Systemen ist, dass die meisten Anwender auf ihrem PC nicht die Rechte für alle Vorgehensweisen haben. Wer beispielweise Programme installieren oder anderweitig ins Betriebssystem eingreifen möchte, benötigt dazu meist Administratoren-Rechte.
Beim jüngst aufgedeckten Razer-Bug ist offenkundig, dass ein Angriff durch die Plug&Play-Funktion von Windows erfolgt. Diese installiert einen Treiber automatisch, wenn neue Hardware entdeckt wird. Dieser Vorgang findet mit den Privilegien des Nutzers „SYSTEM“ statt. Im Rahmen der Treiberinstallation erfolgt darauf noch die Installation der Razer-Konfigurationssoftware „Synapse“. Bei diesem Vorgang werden dann die Rechte vom Benutzer „SYSTEM“ an diesen Prozess weitergegeben.
Das Programm RazerInstaller.exe wird natürlich mit Berechtigungen auf Systemebene ausgeführt, um Änderungen an einem Windows-PC vorzunehmen. Der Benutzer kann jedoch auch eine Datei-Explorer-Instanz mit denselben Rechten öffnen und PowerShell ausführen, was ihm erlaubt, zum Windows 10 Admin zu werden und im schlimmsten Fall Malware zu installieren.
Razer hat auf einen entsprechenden Hinweis zunächst nicht reagiert - nachdem die Sicherheitslücke jedoch am Wochenende öffentlich wurde, verspricht der Hersteller, schnellstmöglich einen Patch bereitszustellen.
Einstufung der Risiken für Privatanwender unf Firmen
Die Geräte von Razer werden quasi exklusiv an Consumer verkauft, die wiederum verfügen ohnehin über Adminrechte an ihrem PC. Eine beruhigende Nachricht für Privatanwender ist jedoch: Für diesen Angriff muss tatsächlich jemand vor dem eigenen Rechner sitzen und dort beispielsweise eine Razer-Maus anschließen - aus dem Internet kann diese Attacke nicht erfolgen. Allerdings läßt sich die Hardware-ID lässt auch fälschen, so dass der Angriff theoretisch auch mit anderen USB-Geräten erfolgen könnte.
Inwieweit sich der Vorgang auf einem abgesicherten Firmenrechner nachstellen lässt, ist schwer zu beurteilen. Ebenso stellt sich die Frage, ob Microsoft hier nachbessern muss, um einen solchen „Admin-Absprung“ während der Treiberinstallation grundsätzlich zu unterbinden. (Quelle: Dr. Windows.de)