Razer-bug maakt je Windows 10-admin door enkel een muis aan te sluiten

razer muis

Een zero day-kwetsbaarheid in de Razer Synapse software maakt het mogelijk om Windows 10-admin te worden. Wereldwijd staat de software op 100 miljoen pc’s geïnstalleerd. Van zodra je een muis, toetsenbord of andere randapparatuur van Razer aansluit, start de installatie van de software automatisch en is je pc kwetsbaar.

Van zodra je randapparatuur van Razer aansluit op een Windows-pc, start Windows Update automatisch met de download van Razer Synapse. Deze software maakt het mogelijk om de hardware te configureren met bijvoorbeeld macro’s. Razer is één van de populairste gaming-merken, maar omdat hun line-up zo divers is, is de kans groot dat jij ooit hardware van hen hebt aangesloten en is de software op je pc geïnstalleerd.

Veiligheidsonderzoeker jonhat meldt op Twitter dat hij een zero day-lek had ontdekt in de Razer Synapse-software, maar dat Razer niet heeft gereageerd op zijn vondst. In een korte video van anderhalve minuut toont hij hoe eenvoudig het is om adminprivileges te verkrijgen in Windows 10.

Website BleepingComputer ging onmiddellijk aan de slag met de kwetsbaarheid en bevestigt dat het amper twee minuten duurde voordat ze een testaccount konden omzetten naar een volwaardig adminaccount.

Plug-and-play

Het is belangrijk om te benadrukken dat je voor deze kwetsbaarheid fysieke toegang nodig hebt tot de pc. Bovendien heb je ook Razer-hardware nodig om een pc te kraken. Desondanks blijft het wel een kritieke kwetsbaarheid omdat de hack zo eenvoudig is en je een Razer-muis online al voor minder dan 20 euro online kan kopen.

Van zodra je de muis (of andere Razer hardware) aansluit, start de download en installatie van Razer Synapse automatisch.

Razer heeft ondertussen contact opgenomen met de veiligheidsonderzoeker en laat in een statement weten dat het aan een oplossing werkt die binnenkort wordt uitgerold. Razer beloont de man ook met een zogenaamde bug bounty, ondanks dat hij het lek publiek heeft gemaakt.

Deze bug opent de deur naar potentieel veel meer problemen rond automatische installatie van softwarepakketten bij het aansluiten van hardware. Het plug-and-play-principe moet het voor de gebruiker eenvoudiger maken om direct met nieuwe hardware aan de slag te gaan. Dat gemak heeft kennelijk ook een keerzijde.

Eind vorig jaar hebben we de zakelijke variant van een Razer toetsenbord en muis getest. De Razer Pro Type en Pro Click zijn neutraal zonder RGB-effecten, maar werden te licht bevonden. Eerder dit jaar bracht Razer ook een zakelijke laptop uit. Lees hier onze review van de Razer Book 13.

nieuwsbrief

Abonneer je gratis op ITdaily !

  • This field is for validation purposes and should be left unchanged.