Weitere Windows-Rechteausweitung über Razer Synapse (SYSS-2023-002)

Ein Security Advisory von Senior IT Security Consultant Dr. Oliver Schwarz

In der Vergangenheit identifizierte die SySS bereits mehrere Schwachstellen (SYSS-2021-058, SYSS-2022-047) zur lokalen Windows-Rechteausweitung über einen Installer und Dienst des Gaming-Controller-Herstellers Razer. Da der Installer auf Standard-Windows-Installationen automatisch startet, wenn entsprechende Hardware angeschlossen wird, waren die meisten Windows-Rechner betroffen, unabhängig von vorinstallierter Software. Das Grundproblem war stets dasselbe, nämlich dass der installierte Dienst "Razer Synapse" Bibliotheksdateien aus einem Standardverzeichnis einbindet, auf welches Angreifende vor der Installation Schreibrechte besitzen.

Über diese Schwachstellen und die grundsätzlichen Risiken von Windows Co-Installern berichtete die SySS auch auf der DeepSec 2022. Inspiriert durch die Diskussionen auf dieser Konferenz untersuchte IT-Sicherheitsexperte Dr. Oliver Schwarz einen bis dahin von ihm als wenig aussichtsreich eingeschätzten Angriffsvektor: die Ausnutzung einer Time-of-check Time-of-use Race Condition. Wie sich herausstellte, konnten Angreifende die Race Condition in der Tat sehr zuverlässig gewinnen und damit die Überprüfung fremder Bibliotheken durch den Dienst überlisten.

Diese neue Schwachstelle wird nun im Security Advisory SYSS-2023-002 beschrieben und in unserem neuen SySS Proof of Concept-Video "Sorry, But Your Mouse is Still Admin" von IT-Sicherheitsexperte Matthias Deeg demonstriert.

Razer hat die Schwachstelle mittlerweile behoben. Bei der Treiberinstallation wird automatisch die neueste Version von Razer Synapse heruntergeladen. Somit müssen Administratoren nicht aktiv werden, um Angriffe zu verhindern. Zusätzlich gibt das Advisory Empfehlungen, wie Systeme durch einen Registry-Eintrag gegenüber ähnlichen Angriffen durch andere Co-Installer gehärtet werden können.

Detaillierte Informationen zu dieser Schwachstelle finden Sie in unserem Security Advisory / You will find detailed information about this security issue in our Security Advisory:

Weitere Informationen über unsere Responsible Disclosure Policy bei der Veröffentlichung von Security Advisories finden Sie hier.

You will find further information about our Responsible Disclosure Policy concerning the publishing process of SySS Security Advisories here.

 

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de | IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer

Direkter Kontakt

+49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN

+49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer