Een Twitter-gebruiker heeft een beveiligingslek ontdekt dat zich voordoet bij de installatie van Razers Synapse-software, waarbij het mogelijk is om vanaf een normaal Windows-gebruikersaccount administrator-rechten te verkrijgen. Hiervoor is het enkel nodig om bij de pc in kwestie een Razer-apparaat in te pluggen.
De kwetsbaarheid zit hem in de installatie van de Synapse-software. Het installatieprogramma hiervoor draait namelijk met 'system'-rechten, het hoogste privilegeniveau binnen Windows. Via een knop om de installatielocatie van de software te kiezen wordt een Verkenner-venster geopend, wat ook system-rechten heeft. In dit venster kan men een opdrachtprompt openen en van daaruit volledige controle over het systeem nemen.
Op deze video is te zien hoe het proces in zijn werk gaat; binnen twee minuten is het mogelijk om system-rechten te verkrijgen.
Volgens de vinder van de kwetsbaarheid, Twitter-gebruiker jonhat, is het daarnaast mogelijk om de toegang ook na een herstart van het systeem te behouden. Hiervoor moet Synapse op een openbare plek, zoals het bureaublad, worden geïnstalleerd. Op de installatielocatie wordt namelijk een servicebestand opgeslagen wat ook gebruikt kan worden om system-rechten te verkrijgen.
Jonhat deelde de kwetsbaarheid met Razer, maar kreeg aanvankelijk geen respons en deelde zijn bevindingen op Twitter. Op zondagavond liet hij weten contact te hebben gehad met het bedrijf. Razer werkt eraan om zo snel mogelijk een oplossing te bieden, en gaf jonhat een beloning voor zijn vondst.
Bronnen: BleepingComputer, @j0hnh4t (Twitter)
