Razer Synapse 软件安全漏洞披露

本周末，安全研究员 jonhat 披露了与 Razer 游戏鼠标相关的 Synapse 软件中存在的一个长期安全漏洞。该漏洞在软件安装过程中触发，具体表现为安装向导生成一个可点击的链接，指向软件安装位置。点击该链接会打开一个文件资源管理器窗口，但该窗口以 SYSTEM 进程 ID 运行，而非用户进程。

漏洞利用细节

1. 安装位置链接：
   在安装向导的右下角有一个“安装位置”链接，点击后会打开文件资源管理器窗口，允许用户浏览非标准安装位置。
2. 获取系统权限：
   用户可以在文件资源管理器窗口中右键点击并选择“在此处打开 PowerShell”或“在此处打开命令提示符”，从而获得一个系统 shell。该 shell 继承了安装对话框的权限，即 SYSTEM 权限。
3. Windows Update 自动下载：
   当用户插入 Razer 鼠标时，Windows Update 会自动下载并运行该安装程序，使得即使是没有管理员权限的用户也能触发该漏洞。

漏洞的背景与影响

• 公开披露历史：
  该漏洞并非首次被发现。早在 2021 年 7 月，安全研究员 Lee Christensen 就公开披露了该漏洞。此外，研究员 _MG_ 也通过使用 OMG 电缆模拟 Razer 鼠标的 PCI 设备 ID 来利用该漏洞。据称，研究人员已多次报告该漏洞，但未得到有效修复。
• Windows Catalog 中的问题：
  Razer Synapse 是 Windows Catalog 的一部分，这意味着即使没有管理员权限的用户，只要插入 Razer 鼠标，Windows Update 就会自动下载并运行易受攻击的安装程序。

漏洞修复进展

• Razer 的回应：
  在 jonhat 于 8 月 21 日公开披露该漏洞后，Razer 迅速联系了他，并表示其安全团队正在尽快修复该漏洞。尽管漏洞已公开披露，Razer 仍向 jonhat 提供了漏洞赏金。
• 后续修复步骤：
  一旦 Razer 修复了该漏洞，下一步将是将修复程序推送到微软，以替换 Windows Catalog 中当前易受攻击的 Razer HIDClass 驱动程序。该驱动程序自 2017 年 1 月（版本 6.2.9200.16495）以来一直存在漏洞，并在用户插入 Razer 鼠标时自动下载和运行。

总结

该漏洞允许用户通过简单的操作获得系统权限，尽管看似需要管理员权限才能触发，但由于 Windows Update 的自动下载机制，即使是普通用户也能利用该漏洞。Razer 已承诺尽快修复该漏洞，并计划将其推送到 Windows Catalog 中，以彻底解决该问题。