Mercado fechado
  • BOVESPA

    113.282,67
    -781,69 (-0,69%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    51.105,71
    -358,56 (-0,70%)
     
  • PETROLEO CRU

    73,95
    +0,65 (+0,89%)
     
  • OURO

    1.750,60
    +0,80 (+0,05%)
     
  • BTC-USD

    42.540,66
    -215,32 (-0,50%)
     
  • CMC Crypto 200

    1.067,20
    -35,86 (-3,25%)
     
  • S&P500

    4.455,48
    +6,50 (+0,15%)
     
  • DOW JONES

    34.798,00
    +33,18 (+0,10%)
     
  • FTSE

    7.051,48
    -26,87 (-0,38%)
     
  • HANG SENG

    24.192,16
    -318,82 (-1,30%)
     
  • NIKKEI

    30.248,81
    +609,41 (+2,06%)
     
  • NASDAQ

    15.319,00
    +15,50 (+0,10%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    6,2556
    +0,0306 (+0,49%)
     

Bug em software da Razer permite elevar privilégios de usuário no Windows 10

·2 minuto de leitura

Responsável por gerenciar as funções únicas a cada produto Razer conectado ao PC, o software Synapse traz um bug que permite a elevação de privilégios de usuário no Windows 10. Segundo o pesquisador de segurança jonhat, basta conectar um mouse produzido pela companhia e aguardar pelo download do software pelo Windows Update para que isso se torne possível.

Conforme o pesquisador explicou em sua conta no Twitter, durante o processo é possível usar o botão direito do mouse para abrir um painel do Windows Powershell. Com isso, qualquer pessoa pode mudar uma conta de convidado para de administrador, por exemplo, ganhando acesso a todas as áreas do sistema.

Segundo jonhat, se o processo de instalação vai até o fim e a pasta definida como padrão leva a um diretório controlado pelo usuário (como a Área de Trabalho), isso faz com que um binário de serviço seja salvado lá. “Ele pode ser raptado para garantir a persistência e é executado antes do logon ou boot”, afirmou o pesquisador.

A brecha de escalonamento de vulnerabilidade só pode ser realizada presencialmente, e não há meios de reproduzi-la pela internet. No entanto, não há restrições quanto ao tipo de dispositivo que pode ser usado para iniciá-la — mesmo o modelo mais barato, que custa cerca de US$ 20 (R$ 107) pode ser usado para explorar a vulnerabilidade.

Brecha é responsabilidade do Windows

Em resposta ao pesquisador, um dos responsáveis pelo OMG Cable, ferramenta usada na simulação de ataques de segurança, afirmou que o bug já era amplamente conhecido há mais de um ano. Ele afirma que, mesmo que a Razer possa ter feito mudanças em seu instalador para evitar a ameaça, ela é essencialmente resultante de um problema no Windows, que permite a elevação de privilégio do software.

Inicialmente, jonhat havia informado que suas tentativas de contatar a Razer foram infrutíferas, mas no último domingo (22) ele informou que obteve uma resposta e que a empresa está trabalhando no lançamento de uma correção. “Sua forma de comunicação foi profissional e até mesmo me ofereceram uma recompensa, mesmo após eu divulgar publicamente a vulnerabilidade”, explicou.

Fonte: Canaltech

Trending no Canaltech:

Nosso objetivo é criar um lugar seguro e atraente onde usuários possam se conectar uns com os outros baseados em interesses e paixões. Para melhorar a experiência de participantes da comunidade, estamos suspendendo temporariamente os comentários de artigos