雷蛇鼠标存在安全缺陷 可直接获取管理员权限

近期，有报道称某些型号的雷蛇鼠标存在严重的安全漏洞，使得任何用户都能获得 Windows 系统的管理员级别访问权限。

推特用户jonhat发现，安装雷蛇鼠标时的安装程序意外地允许用户在使用普通非管理员账户时，以系统权限访问 Windows 文件浏览器。

当新 USB 设备连接到运行 Windows 的计算机时，该设备会获得系统级访问权限，即在 Windows 权限层次中最高等级的权限，因此可在 Windows 文件夹中安装驱动程序，通常这是一个后台进程，不需要用户干预。

但当用户首次连接雷蛇鼠标时，Razer Synapse 软件的安装程序会被启动，并允许用户选择安装位置。

如果用户决定修改默认的安装路径，该程序将打开一个文件资源管理器窗口，让他们选定新的安装文件夹。

然而，由于这个窗口是在安装过程中生成的，因此软件保持系统级权限，这意味着用户实际上能够以管理员身份访问系统。

Jonhat还发现，按住 Shift 键右键点击这个窗口，可以开启一个 Windows Powershell 窗口，从而获得完整的管理员权限命令行。

拥有管理员权限的用户能够全面控制计算机的软件和系统设置，可以访问所有文件、调整安全设置并安装各类软件和硬件。

在最坏的情况下，利用这一漏洞的雷蛇鼠标持有者，可能在没有适当安全措施的计算机（如网吧、办公室或朋友的设备）中安装恶意软件或间谍软件（如键盘记录程序）。

在jonhat揭露这一漏洞几天后，他在推特上表示，雷蛇已经与他取得联系，并告知其安全团队正在“迅速进行修复”。

然而，其他用户随后也在不同的带有安装程序的 USB 设备上发现了类似的问题，包括游戏外设公司赛睿的产品，因此这一问题似乎是系统级的安全漏洞，可能需由微软来处理解决。

Tags： Windows操作系统  鼠标 

提示：本站文章来源于网络或投稿