{"id":256888,"date":"2021-08-22T12:39:57","date_gmt":"2021-08-22T10:39:57","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=256888"},"modified":"2023-10-17T16:11:05","modified_gmt":"2023-10-17T14:11:05","slug":"windows-10-administrator-privilegien-per-razer-maus-ber-lpe-schwachstelle-erhalten","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/08\/22\/windows-10-administrator-privilegien-per-razer-maus-ber-lpe-schwachstelle-erhalten\/","title":{"rendered":"Windows 10: Administrator-Privilegien per Razer-Maus über LPE-Schwachstelle erhalten"},"content":{"rendered":"

\"Windows\"[English<\/a>]Der Anschluss einer Razer-Maus reicht, um sich als Standardnutzer administrativen Privilegien zu verschaffen. Hintergrund ist, dass die Treiberinstallation mit SYSTEM-Rechten ausgef\u00fchrt wird und sich dann vom Benutzer eine administrative Eingabeaufforderung \u00f6ffnen l\u00e4sst. Schon hat er administrativen Zugriff auf das System. Razer hat auf Nachfrage des Entdeckers der Schwachstelle nicht reagiert.<\/p>\n

<\/p>\n

\"\"Wer direkten Zugriff auf ein Windows 10-System hat, kann dort allerlei Schweinereien treiben. Wie leicht es aber ist, sich durch das Einst\u00f6pseln einer Maus administrative Privilegien als Standard-Benutzer zu erhalten, hat mich dann doch \u00fcberrascht.<\/p>\n

Razer-Maustreiber-Installation als Schwachstelle<\/h2>\n

Ich bin auf Twitter gerade von anderen Benutzern auf den betreffenden Tweet von @jonhat<\/a> aufmerksam gemacht worden. Dieser ist auf eine Schwachstelle gesto\u00dfen, die eine Local Privilege Escalation (LPE) erm\u00f6glicht.<\/p>\n

\"Windows<\/a><\/p>\n

Es reichte eine Razer-Maus (oder den Dongle) an einen USB-Port eines Windows 10-Rechners anzuschlie\u00dfen. Dann wird der RazerInstaller \u00fcber Windows Update heruntergeladen und als SYSTEM ausgef\u00fchrt. In dem in obigem Tweet eingebetteten Video sieht man, wie der Anwender durch die Schritte der Treiberinstallation unter einem Standard-Benutzerkonto gef\u00fchrt wird. So weit so gut. W\u00e4hrend der Installation l\u00e4sst sich der Razer-Treiber im Download-Ordner ausw\u00e4hlen (siehe folgendes Bild – eine bessere Qualit\u00e4t weist dieses Video<\/a> auf).<\/p>\n

\"Razer<\/a>
\nZum Vergr\u00f6\u00dfern klicken<\/a><\/p>\n

Im Dialogfeld zur Treiberauswahl kann aber auch ein Kontextmen\u00fc zum \u00d6ffnen der PowerShell-Konsole aufgerufen werden. Hier w\u00e4re bereits denkbar, als Zielordner den Desktop oder einen anderen vom Benutzer kontrollierten Ordner f\u00fcr die Treiber anzugeben. Dann w\u00e4re ein Hijacking durch Austausch der Treiberdateien oder ggf. DLL-Hijacking m\u00f6glich.<\/p>\n

Aber es geht noch mehr. Da die Treiberinstallation mit SYSTEM-Rechten l\u00e4uft, erh\u00e4lt das Dialogfeld diese Rechte ebenfalls. Die SYSTEM-Rechte werden auch an das Fenster der PowerShell-Konsole weitergereicht. Der Standardbenutzer hat nun administrative Berechtigungen. Will Dormann weist darauf hin, dass dieses Szenario bei allen Treibern, die \u00fcber USB-Ger\u00e4t zur Installation angefordert werden, m\u00f6glich sei.<\/p>\n

Diese Installation wird \u00fcbrigens jedes Mal angesto\u00dfen, wenn das USB-Ger\u00e4t an einem neuen USB-Port angeschlossen ist. Und das Ganze hat noch einen weiteren Aspekt. Mit entsprechenden Ger\u00e4ten k\u00f6nnen die Hardware-ID einer Razer-Maus emuliert werden.<\/p>\n

Hardware ID: usb\\vid_1532&pid_0078&mi_02
\nUpdate ID: f3073b05-17af-4abf-98a1-d93b4c5af0cd<\/p>\n

@jonhat hat versucht, Razer auf das Thema anzusprechen, blieb aber erfolglos. Erst aufgrund der jetzt aufkommenden Twitter-Diskussion hat sich jemand vom Razer Social Media-Team gemeldet und will sich k\u00fcmmen.<\/p>\n

Razer kommt endlich in die Hufe<\/h2>\n

Als ich gestern diesen Blogbeitrag ver\u00f6ffentlichte, war der Fall noch offen. Aber der neueste Tweet<\/a> von @j0nh4t:<\/p>\n

\"Razer,<\/a><\/p>\n

Da kommt also jemand in die Pushen. Aber es klang ja hier in den Kommentaren an, dass die Begeisterung \u00fcber die Produktqualit\u00e4t von Razer nicht so dolle gesehen wird. Zu obigem Tweet, der die \"professionelle Handhabung durch Razer\" lobt, haben sich dann auch Gegenstimmen gemeldet. Der nachfolgende Tweet<\/a> liest sich wie ein Scherz, der Racer -Support wollte von einem Nutzer, der eine Kontaktaufnahme versuche, irre viele Angaben haben.<\/p>\n

\"Racer<\/a><\/p>\n

Der Nutzer versucht seit einem Jahr die Supporter auf das Problem aufmerksam zu machen – und wollte jetzt die Aufmerksamkeit ergreifen, um einen neuen Fall aufzumachen – mit den oben nachlesbaren Fakten. Und es gibt noch einen interessanten Tweet, der skizziert wie die Leute es mit einem O.MG Hacker-Kabel (verh\u00e4lt sich wie ein USB-Ger\u00e4t) geschafft haben, sich unter Gast-Konto administrative Berechtigungen in Windows 10 zu beschaffen.<\/p>\n

\"Still<\/p>\n

Bringen wir es auf den Punkt: Das System ist einfach kaputt. Deshalb m\u00f6chte ich nur einen letzten Tweet<\/a> mit Verweis auf diesen Beitrag<\/a> hinterlassen, ohne ihn zu kommentieren.<\/p>\n

\"#RazerNightmare\"<\/a><\/p>\n

Es ist zwar in allen F\u00e4llen ein direkter Zugriff auf das System erforderlich, aber abschlie\u00dfend sollte sich jeder die Frage \"wie geht es mit Windows 11 weiter?\" stellen. Microsoft bl\u00e4st ja jetzt ins Horn \"wir brauchen neue Hardware mit TPM 2.0 und aktuellen CPUs – alles wird sicherer\", aber unter der Haube werkelt weitgehend der alte Code. Diese Frage beantwortet sich aber jeder selbst.<\/p>\n

Erg\u00e4nzung:<\/strong> Sicherheitsforscher Will Dormann weist in diesem Tweet<\/a> darauf hin, dass ein Registrierungseintrag DisableCoInstallers = 1<\/em> unter:<\/p>\n

HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Device Installer\\<\/p>\n

die Ausnutzung unterbindet (der Co-Installer wird blockiert).<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Der Anschluss einer Razer-Maus reicht, um sich als Standardnutzer administrativen Privilegien zu verschaffen. Hintergrund ist, dass die Treiberinstallation mit SYSTEM-Rechten ausgef\u00fchrt wird und sich dann vom Benutzer eine administrative Eingabeaufforderung \u00f6ffnen l\u00e4sst. Schon hat er administrativen Zugriff auf das System. … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,3694],"tags":[4328,115,4378],"class_list":["post-256888","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows-10","tag-sicherheit","tag-treiber","tag-windows-10"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/256888","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=256888"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/256888\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=256888"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=256888"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=256888"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}