रेज़र भेद्यता किसी को भी विंडोज़ पीसी पर व्यवस्थापक अधिकार प्राप्त करने देती है

Xda समाचार संक्षिप्तNov 02, 2023

शोधकर्ताओं ने रेज़र पेरिफेरल्स से संबंधित विंडोज़ भेद्यता की खोज की है, जो किसी को भी आसानी से प्रशासक अधिकार प्राप्त करने की सुविधा देती है।

की कोई कमी नहीं है विंडोज़ कमजोरियाँ हाल ही में खोजा जा रहा है, यहां तक ​​कि नए लॉन्च में भी विंडोज़ 365 सेवा. अब, एक सुरक्षा शोधकर्ता ने एक भेद्यता की खोज की है जो रेज़र पेरिफेरल्स वाले किसी भी व्यक्ति को विंडोज पीसी पर व्यवस्थापक अधिकार प्राप्त करने देती है। शोधकर्ता, ट्विटर पर जॉनहट के नाम से जाना जाता है, पता चला कि रेज़र यूएसबी पेरिफेरल को प्लग इन करने से उपयोगकर्ताओं को कंप्यूटर पर प्रशासक की अनुमति आसानी से मिल जाती है।

भेद्यता जिस तरह से काम करती है वह यह है कि एक बार जब आप रेज़र डिवाइस में प्लग इन करते हैं, तो विंडोज अपडेट रेज़र सिनैप्स को डाउनलोड और इंस्टॉल कर देगा। मैक्रोज़ और क्रोमा लाइटिंग इफ़ेक्ट जैसी चीज़ों को नियंत्रित करने के लिए यह रेज़र का सॉफ़्टवेयर है। हालाँकि, क्योंकि इंस्टॉलर को विंडोज अपडेट द्वारा डाउनलोड किया जा रहा है, इसे सिस्टम उपयोगकर्ता के रूप में चलाया जा रहा है - व्यवस्थापक अधिकारों के साथ एक अत्यधिक विश्वसनीय उपयोगकर्ता समूह।

इंस्टॉलेशन के दौरान एक बिंदु पर, इंस्टॉलर उपयोगकर्ताओं से Synapse इंस्टॉल करने के लिए एक निर्देशिका चुनने के लिए कहता है, और एक फ़ाइल एक्सप्लोरर विंडो खुलती है। क्योंकि इंस्टॉलर सिस्टम उपयोगकर्ता द्वारा चलाया जा रहा है, उपयोगकर्ता इसे दबा सकता है बदलाव व्यवस्थापक विशेषाधिकारों के साथ PowerShell विंडो खोलने के लिए कुंजी और खाली क्षेत्र पर राइट-क्लिक करें। वहां से, लगभग कुछ भी करना संभव है जो PowerShell आपको व्यवस्थापक अधिकारों के साथ करने की अनुमति देता है।

समस्या और भी बदतर हो जाती है. यदि आप रेज़र सिनैप्स फ़ाइलों को उपयोगकर्ता-नियंत्रण योग्य फ़ोल्डर में सहेजते हैं - जैसे डेस्कटॉप, दस्तावेज़ और अन्य - तो वहां सहेजी गई फ़ाइलों में से एक को हाईजैक किया जा सकता है। यह संभावित हमलावर को बाद में लगातार व्यवस्थापक अधिकार प्राप्त करने की अनुमति देता है। इसके अलावा, आपको असली रेज़र डिवाइस की भी आवश्यकता नहीं है। डिवाइस आईडी को धोखा देकर विंडोज अपडेट को रेजर सिनैप्स डाउनलोड करने के लिए धोखा दिया जा सकता है, भले ही कोई अलग डिवाइस प्लग इन हो। ट्विटर उपयोगकर्ता an0n रेज़र डिवाइस के बजाय एंड्रॉइड फोन का उपयोग करके उसी कारनामे को अंजाम देते हुए एक वीडियो साझा किया गया।

विंडोज़ भेद्यता की शुरुआत में रेज़र को रिपोर्ट की गई थी, लेकिन बिना किसी प्रतिक्रिया के, शोधकर्ता ने उपरोक्त वीडियो के साथ मुद्दे को सार्वजनिक कर दिया। हालाँकि, इसकी सार्वजनिक दृश्यता के बाद, रेज़र पहुंच गया है और पुष्टि की कि यह वास्तव में समस्या को ठीक कर देगा। शोधकर्ता के लिए बोनस के रूप में, भले ही भेद्यता का सार्वजनिक रूप से खुलासा किया गया हो, फिर भी कंपनी समस्या का पता लगाने के लिए इनाम की पेशकश करेगी।