Para peneliti telah menemukan kerentanan Windows yang terkait dengan periferal Razer, yang memungkinkan siapa pun dengan mudah mendapatkan hak administrator.
Tidak ada kekurangan Kerentanan Windows ditemukan baru-baru ini, bahkan di saat baru diluncurkan Layanan Windows 365. Kini, seorang peneliti keamanan telah menemukan kerentanan yang memungkinkan siapa pun yang memiliki periferal Razer mendapatkan hak admin di PC Windows. Peneliti, dikenal sebagai jonhat di Twitter, menemukan bahwa mencolokkan periferal USB Razer memungkinkan pengguna mendapatkan izin administrator di komputer dengan mudah.
Cara kerja kerentanannya adalah setelah Anda menyambungkan perangkat Razer, Pembaruan Windows akan mengunduh dan menginstal Razer Synapse. Ini adalah perangkat lunak Razer untuk mengontrol hal-hal seperti makro dan efek pencahayaan Chroma. Namun, karena penginstal sedang diunduh oleh Pembaruan Windows, penginstal dijalankan sebagai pengguna SISTEM - grup pengguna yang sangat tepercaya dengan hak administrator.
Pada satu titik selama instalasi, penginstal meminta pengguna memilih direktori untuk menginstal Synapse, dan jendela File Explorer terbuka. Karena penginstal sedang dijalankan oleh pengguna SISTEM, pengguna dapat menekan tombol Menggeser kunci dan klik kanan area kosong untuk membuka jendela PowerShell dengan hak administrator. Dari sana, Anda dapat melakukan hampir semua hal yang PowerShell izinkan Anda lakukan dengan hak administrator.
Masalahnya menjadi lebih buruk. Jika Anda menyimpan file Razer Synapse ke folder yang dapat dikontrol pengguna - seperti Desktop, Dokumen, dan lainnya - salah satu file yang disimpan di sana dapat dibajak. Hal ini memungkinkan calon penyerang mendapatkan hak admin secara terus-menerus di kemudian hari. Selain itu, Anda bahkan tidak memerlukan perangkat Razer asli. ID Perangkat dapat dipalsukan untuk mengelabui Pembaruan Windows agar mengunduh Razer Synapse meskipun perangkat lain tersambung. Pengguna Twitter an0n membagikan video dengan eksploitasi yang sama yang dilakukan menggunakan ponsel Android, bukan perangkat Razer.
Kerentanan Windows awalnya dilaporkan ke Razer, tetapi tanpa tanggapan, peneliti mempublikasikan masalah tersebut melalui video di atas. Namun, mengikuti visibilitas publiknya, Razer telah menjangkau dan mengonfirmasi bahwa hal itu memang akan memperbaiki masalah tersebut. Sebagai bonus bagi peneliti, meskipun kerentanan diungkapkan kepada publik, perusahaan akan tetap menawarkan hadiah bagi mereka yang menemukan masalah tersebut.