MicrosoftのPrintNightmare騒動以降、ハッカーコミュニティは、Windowsにサードパーティ製ドライバーをインストールする際に発生する脆弱性に注目を始めているようです。今回ハッカーのjonhat氏は、Razer社のマウス用無線ドングルを接続するだけで、Windows 10の管理者権限を取得する方法を発見したと報告しています(MSPoweruser)。
Need local admin and have physical access?
- Plug a Razer mouse (or the dongle)
- Windows Update will download and execute RazerInstaller as SYSTEM
- Abuse elevated Explorer to open Powershell with Shift+Right clickTried contacting @Razer, but no answers. So here's a freebie pic.twitter.com/xDkl87RCmz
— jonhat (@j0nh4t) August 21, 2021
問題は、Windows Updateがシステム権限でRazerInstallerをダウンロードして実行することと、そのインストーラーがユーザーにエクスプローラーウィンドウを開いてドライバーのインストール先を選択する機会を提供することにあるとのことです。Shift+右クリックでシステム権限のあるPowershellウィンドウを開くことができ、ハッカーはなんでもやりたい放題になる模様。
さらに、ユーザーがインストールプロセスを実行した際、保存ディレクトリをデスクトップなどのユーザーが制御可能なパスに設定すると、サービスバイナリがそこに保存されます。永続性を保つためサービスバイナリをハイジャックし、ユーザーがログインする前に実行することができると説明しています。
USB IDは簡単に偽装できるため、攻撃者は本物のRazerマウスを必要としません。
jonhat氏は、Razer社に連絡を取ろうとしたものの、できなかったため、この脆弱性を公開したと述べています。Microsoftが今後Windows Updateからこのドライバーを削除すると予想されますが、保証はありません。