聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

安全研究员发现，攻击者可利用在 Windows 10 上安装赛睿 (SteelSeries) 外设的官方 app，获得管理员权限。

攻击者可以在设备设置过程中利用该 bug，通过以系统权限打开的许可证协议屏幕中的一个链接即可利用该 bug。而利用该 bug 不一定必须使用真正的赛睿设备。

虚拟设备也可利用

继雷蛇 (Razer) Synapse 软件被曝和雷蛇鼠标或键盘连接时，即被用于获得提升权限后，安全研究员 Lawrence Amer 发现通过赛睿设备安装软件也可实现同样的效果。

Amer 在自己新买的赛睿键盘中发现了一个提权漏洞，可被用于以管理员权限在 Windows 10 中运行命令提示符。

然而，赛睿软件不仅用于键盘 (Apex7/Pro)，还可用于安装并允许用户配置鼠标 (Rival 650/600/710) 和手持设备 (Arctis 9, Pro)，甚至还可使用户控制 QCK Prism 游戏鼠标垫上的 RGB 光线。

Amer 首先插入键盘并监控安装过程，即首先将赛睿软件 (SteelSeriesGG6.2.0Setup.exe) 下载到 Windows 临时文件夹中。发动攻击并不要求必须通过真实的赛睿设备。渗透测试工程师 István Tóth 曾在安卓手机上公布了能够模拟人机界面设备 (HID) 的开源脚本，专用于测试本地提权场景。尽管还是实验性版本，但该脚本可成功模拟雷蛇和赛睿设备。

Amer 发布研究成果后，Tóth 发布演示视频称使用他的 USB Gadget Generator Tool 即可实现 Amer 发现的本地提权。

找到正确的上下文

在尝试找到突破点的过程中，Amer 尝试找到从非权限用户可访问的文件夹中加载缺失的 DLL 或 EXE 的方法，但未果。

然而，他注意到该设备设置 app 下载后立即以系统权限运行。另外一个以最高权限运行的进程提供了新的攻击机会。

Amer 尝试了和雷蛇0day 运作一样的利用方法但并未成功，因为安装过程无需用户交互就会继续执行。不过他发现许可证协议总出现了赛睿的隐私策略链接，当点击该链接时，就会出现选择启动 app 的对话。Amer 在虚拟机上测试了这个未定义文件关联的场景。打开该链接的唯一进程是已获取其系统权限的IE浏览器。之后，他只需通过IE浏览器保存该网页并右击“另存为”对话的目录即可启动提权命令提示符。

Amer 表示，他尝试联系赛睿通知该漏洞，但并未看到公开漏洞奖励计划或产品安全联系人的联系方式。

赛睿公司尚未就此事置评。

Amer 指出，即使该漏洞被修复后仍可遭利用。攻击者可在插入赛睿设备时，将易受攻击的已签名可执行文件释放到临时文件夹中，之后发动DNS投毒攻击。

推荐阅读

研究员公开Razer 0day，插入鼠标即可获得Windows管理员权限

Windows Print Spooler 被曝未修复 0day，可导致恶意软件以管理员权限运行

原文链接

https://www.bleepingcomputer.com/news/security/steelseries-bug-gives-windows-10-admin-rights-by-plugging-in-a-device/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~