雷蛇被曝0day漏洞 插入鼠标或键盘可快速获得最高用户权限

最新推荐文章于 2022-12-05 01:15:20 发布
最新推荐文章于 2022-12-05 01:15:20 发布
阅读量3.7k 收藏 8
点赞数 7
分类专栏: 系统安全 文章标签: windows 系统安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mozibai666/article/details/119901471
版权

一个Razer Synapse 0day漏洞在Twitter上披露,只需插入Razer鼠标或键盘即可获得 Windows管理员权限。

Razer是一家非常受欢迎的计算机游戏设备制造商,以其游戏鼠标和键盘而闻名。

将Razer设备插入Windows 10或Windows 11时,操作系统将自动下载并开始在计算机上安装Razer Synapse软件。Razer Synapse是一款允许用户配置硬件设备、设置宏或映射按钮的软件。

Razer声称他们的Razer Synapse软件在全球有超过1亿用户使用。

安全研究员jonhat在即插即用的Razer Synapse安装中发现了一个0day漏洞,该漏洞允许用户在Windows设备上快速获得系统权限。

SYSTEM权限是Windows中可用的最高用户权限,允许某人在操作系统上执行任何命令。本质上,如果用户在Windows中获得 SYSTEM 权限,他们就可以完全控制系统并可以安装他们想要的任何东西,包括恶意软件。

通过插入鼠标获得SYSTEM权限

BleepingComputer测试了该漏洞,并确认在插入鼠标后大约2分钟才能在Windows 10 中获得系统权限。

需要注意的是,这是一个本地提权(LPE)漏洞,这个漏洞很容易被利用,因为只需购买一个雷蛇鼠标并将其插入 Windows 10即可成为管理员。

为了测试这个错误,在一台Windows 10 计算机上创建了一个临时的“测试”用户,具有标准的非管理员权限,如下所示。

最低0.47元/天 解锁文章
陈子政
关注
专栏目录
CVE-2019-13142:雷蛇影音软件(Razer Surround)的权限提升漏洞
NOSEC2019的博客
07-08 1854
软件版本:Razer Surround 1.1.63.0 操作系统版本:Windows 10 1803(x64) 漏洞说明:Razer Surround软件中文件夹设置缺陷导致的权限提升 目的 我希望这篇文章能鼓励更多的人加入漏洞研究这个看似很困难的领域。虽然这个漏洞的原理很简单,但本文的主要目的是讲述一些漏洞挖掘的方法。另外,我希望用这篇文章提醒大家,无论公司规模有多大,都一定存在脆弱面。 简...
apache synapse学习-属性设置
wzz87的博客
07-30 2544
属性设置-Generic Properties PRESERVE_WS_ADDRESSING 默认情况下,ESB将一组新的WS-Addressing头添加到从ESB转发的消息中。如果在消息上将此属性设置为“true”,ESB将在不更改其现有的WS-Addressing头的情况下转发它。 <property name="PRESERVE_WS_ADDRESSING" value="true"/...
雷蛇鼠标安全漏洞 装上就能获得管理员权限
wubaohu1314的博客
08-24 430
最近,某些雷蛇鼠标被发现存在巨大的安全漏洞,允许任何用户获得对 PC 的管理员级别访问权限。 推特用户jonhat发现,在安装雷蛇鼠标时启动的安装软件会意外地让用户可以让他们使用标准的非管理员账号登录时以系统级别访问 Windows 的文件浏览器。 当任何新的 USB 设备插入运行 Windows 系统的电脑时,该设备会临时获得系统级别的访问权限(这是 Windows 用户层次结构中的最高权限级别),所以驱动程序可以安装在 Windows 文件夹中。这通常是一个不涉及用户的后台进程。 但是
研究员公开Razer 0day插入鼠标即可获得Windows管理员权限
smellycat000的专栏
08-23 170
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士安全研究员jonhat 在推特上发现了一个 Razer Synapse 0day,用户仅插入 Razer 鼠标键盘就能获得Window...
Razer Synapse雷云本地提权漏洞的复现
weixin_48421613的博客
08-25 3172
最近雷蛇的PC端工具Razer Synapse雷云爆发了零日漏洞,自己玩了一下,步骤如下 首先我们的用户是普通用户,aaaa用户并不在管理员用户组内 通过whoami可以看出,当前用户为aaa 通过 net localgroup administrators 可以看到,在管理员用户组的用户只有vlan 可能是我的环境是虚拟机环境吧,我朋友的电脑并没有要求输入管理员的密码 ![在这里插入图片描述](https://img-blog.csdnimg.cn/0901caae46024572ac80111f92
提供一个0day(CVE)挖掘思路
weixin_40418457的博客
09-02 899
01 最近在Twitter看到国外黑阔jonhat披露的雷蛇0day漏洞,该漏洞只要接入雷蛇鼠标键盘等外设安装驱动就能直接提权到system权限。原文在这里: https://twitter.com/j0nh4t/status/1429049506021138437 刚好我用的就是雷蛇鼠标,赶紧复现一波(复现视频可以去twitter看原版)。 先在插上一个新的雷蛇设备,或者删除老驱动后再插入,等安装好基本驱动后,会自动弹出安装Razer Synapse(雷云)的安装向导,然后再选择安装位置时,可以新建
禁止蝰蛇鼠标驱动软件自动安装;如何在插入Razer设备时停止Razer Synapse安装程序
最新发布
偶尔记录一点点
12-05 6058
禁止蝰蛇鼠标自动安装; 如何在插入Razer设备时停止Razer Synapse安装程序; 解决弹窗烦恼
插入雷蛇鼠标 2 分钟,即可获得 Windows 10 管理员权限?
CSDN人工智能头条
08-31 470
整理 | 苏宓出品 | CSDN(ID:CSDNnews)“鼠标成为获取系统级权限的切入口?”,这种似乎只在电影中出现的片段,没想到有一天也会成为现实。近日,一位安全研究员 jonhat ...
雷蛇鼠标 雷云3 驱动无法启动 Razer Syncapse 3 Failed to start
热门推荐
wu_weijie的博客
04-17 9万+
雷蛇鼠标 雷云3 驱动无法启动 Razer Syncapse 3 Failed to start前言问题描述实践环境解决方式打开雷蛇 installer 日志目录搜索下载链接并安装下载安装 Razer Central下载安装 Game Manager Service创建服务并运行管理员身份启动 PowerShell执行命令运行服务运行 雷云3【重要】关闭自动更新 前言 问题描述 雷蛇驱动安装完后无...
Razer Synapse 2.0(雷蛇云驱动) v1.18.19.23944 官方中文版
09-25
Razer SynaPSe(雷蛇云驱动) Synapse 2.0 云技术是一种网络综合性配置器,允许用户通过一个独立 ID 同步 Razer 游戏外设和设备的设置。 Razer Synapse 2.0是一款云端软件,配合Razer的键鼠使用,可以把游戏配置文件、宏,已经鼠标等的设置参数同步到云端。这样,你可以到任何能上网的地方将你熟悉的参数同步到新的地方。最大化简化调试外设的过程,如果你经常要去网吧或者外出,这款软件将十分适合你。本次版本更新新加入了Razer Naga Hex鼠标
Razer_Synapse2_v1.06.01
11-24
雷蛇最新的云驱动,可以供所有雷蛇用品使用,很方便
RazerSurroundInstaller2.0.29.20
03-09
雷蛇驱动,RazerSurroundInstaller2.0.29.20
RazerSynapse22120606.zip
05-16
雷云鼠标3500专用
Razer_Synapse_Installer_v2.21.21.1.exe
05-12
Razer_Synapse_Installer_v2.21.21.1.exe
Spiking Deep Convolutional Neural Networks for Energy-Efficient Object Recognition
h__ang的博客
06-09 6014
论文名:Spiking Deep Convolutional Neural Networks for Energy-Efficient Object Recognition 中文名:脉冲卷积神经网络做高效的目标识别 摘要 深度神经网络(如CNN)已经在处理复杂的视觉问题(如目标识别)上展示了巨大的潜力。基于SNN的结构展示了使用基于脉冲的神经形态硬件实现低功耗的巨大潜力,这项工作描述了一种将CN...
测试用例管理工具SynapseRT(jira插件)的具体使用(二)
玉米的博客
02-28 8152
一、关于synapseRT的安装与升级 1.安装 从Atlassian Marketplace安装 1)用系统管理员登录JIRA,然后点击页面右上角的“齿轮”图标。 2)从“管理员页面”中选择“插件”。 3)从“查找新插件”中搜索“synapseRT”。 4)如果在付钱前想试用这个插件,点击“免费试用”选项以获得一个30天的试用授权,否则点击“现在购买”。 从安装包安装 1)用...
雷云3 Razer Synapse官方版-雷云3 Razer Synapse官方版下载
wd1998wd的博客
04-21 9615
  雷云3 Razer Synapse官方版是款由雷蛇官方打造的比较全面的硬件配置工具。雷云3中可以允许用户重新绑定控制功能、分配宏,个性化设备灯光效果等。雷云3 Razer Synapse中还拥有强大的鼠标/键盘参数和灯光自定义功能,支持宏编程。下面提供雷云3软件的下载服务。 雷云3 Razer Synapse下载地址 雷云3 Razer Synapse官方版电信高速下载1 雷云3 Razer Synapse官方版联通高速下载1 雷云3 Razer Synapse官方版电信高速下载2 雷云3 Ra
评论 44
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值