插入雷蛇鼠标 2 分钟，即可获得 Windows 10 管理员权限？

本文来自微信公众号“CSDN”（ID:CSDNnews），整理：苏宓，36氪经授权发布。

“鼠标成为获取系统级权限的切入口？”，这种似乎只在电影中出现的片段，没想到有一天也会成为现实。

近日，一位安全研究员 jonhat 在 Twitter 上披露，当用户插入 Razer（雷蛇）鼠标或者键盘时，黑客有可能获得 Windows 管理员权限。

而这到底是怎么回事？为何鼠标/键盘等外接设备也会成为漏洞的根源？

雷蛇鼠标/键盘被指存在本地提权漏洞

所谓系统管理员权限，是指更改安全设置、安装软件和硬件、访问计算机上的所有文件以及对其他用户账户进行更改的所需要的权限。一旦拥有该权限，就可以访问计算机的任意位置。一直以来，当我们要更改一些系统级文件时，必然需要管理员权限才行。不同的“用户权限”划分对于 Windows 系统本身而言，是一件好事，因为它可以保护系统免受滥用这些特权的人的侵害。

据jonhat 表示，在 Windows 10/Windows 11 测试版系统下，插入雷蛇设备（鼠标/键盘）时，Windows 系统会自动下载并在计算机设备上安装一款 Razer Synapse 软件，该软件允许用户配置硬件设备、设置宏或驱动。

这里 RazerInstaller.exe可执行文件是通过以 System 权限运行的 Windows 进程启动的。因此 Razer 安装程序也获得了 System 权限。

当在安装 Razer Synapse 软件时，Windows 的安装向导会询问用户要将该软件保存在哪个文件夹下面。当用户为文件夹选择新位置时，系统将会跳出一个“选择文件夹”的对话框。此时，如果你按住 Shift 并单击右键时，系统将会提示你可以“在此处打开 PowerShell 窗口 ”，这样操作之后会在对话框中显示的文件夹中打开 PowerShell 窗口。

由于此 PowerShell 窗口也是由具有 System 权限的进行启动，因此 PowerShell 也将继承这些相同的权限。正如下图所示，一旦打开 PowerShell 窗口，并在其中输入“whoami”命令时，该对话框中会显示用户拥有 System 权限，并允许该用户的任意操作。

需要注意的是，这是一个本地提权（LPE）漏洞，这意味着该漏洞只会通过雷蛇设备并能够以物理方式访问计算机时才会有。对此，据外媒 BleepingComputer 测试显示，当计算机插入雷蛇设备后，仅需要两分钟的时间就可以在 Windows 10 中获得系统权限。

如何解决？

提及雷蛇，这款以游戏鼠标和键盘而闻名的品牌，想必玩游戏的众多用户并不陌生。在 jonhat 披露该漏洞之后，也引发了不少网友的关注。jonhat 本人也首先就此事联系了 Razer 后，Razer 确认了该漏洞的存在并回应其安全团队正在尽快修复，与此同时，jonhat 也因此获得了 Razer 的赏金。

然而，在雷蛇官方发布可用的补丁之前，又该如何避免计算机免受使用雷蛇这类外接设备带来潜在风险？对此，有网友表示，可以直接先禁用计算机的 USB 端口，以此作为备选的解决方案。更有网友称，Windows 应该停止安装/升级驱动程序。

无独有偶

就在大家为解决方案出谋划策之际，另一位安全专家 @Lawrence 勞倫斯 又抛出一则消息，除了雷蛇外接设备之外，或还有更多的设备存在漏洞，巧的是，同样的是在 Windows 10 系统之下。

@Lawrence 勞倫斯 表示，近期他对其最新购买的一款游戏键盘 SteelSeries（赛睿）进行了测试。在插入 SteelSeries 设备时，系统会先下载安装一款“SteelSeriesGG6.2.0Setup.exe”可执行文件，并将其保存在 C:\windows\temp 文件夹中，这也意味着用户无法自定义文件保存路径。

经过验证，Lawrence 发现使用 SteelSeries 键盘同样可以直接获取到 Windows 10 的管理员权限。

与此同时，来自 CERT/CC 的漏洞分析师 Will Dormann 也发文表示，在 Windows 即插即用的过程中安装的其他软件很有可能会发生类似的漏洞。

截止目前，仍未确定该漏洞的影响范围有多大，但是我们当前所能做的就是，保证自己的个人或工作电脑设备在自己可控的范围内，防止被有心人利用。

参考来源：

https://www.bleepingcomputer.com/news/security/razer-bug-lets-you-become-a-windows-10-admin-by-plugging-in-a-mouse/

http://0xsp.com/security%20research%20&%20development%20(SRD)/local-administrator-is-not-just-with-razer-it-is-possible-for-all