fb pixel code
KATEGÓRIÁK KATEGÓRIÁK
2021. 08. 24

Rendszergazdai jogokat adnak az USB-s Razer termékek

A trükkhöz közvetlen fizikai hozzáférésre és egy USB-s Razer eszközre van szükségNem egyedi, de annál kellemetlenebb probléma.

A Windows rendszeren tátongó különféle biztonsági rések nem számítanak újdonságnak, ám néha egészen meglepő helyeken találhatunk újabb támadási felületeket. Ezúttal ráadásul egy milliók által ismert és használt márkáról, a Razerről derült ki, hogy hosszú ideje kínál lehetőséget admin jogosultság megszerzésére, melyhez mindössze arra van szükség, hogy egy billentyűzetüket vagy egerüket a kiszemelt számítógép USB portjára csatlakoztassuk.

Egy USB-s Razer eszköz és egy Windows 10/11 rendszerre lesz szükség, internet hozzáféréssel.


A Razer 23 éve van jelen a hardverek piacán, a napokban felkapott biztonsági probléma pedig az általuk kiadott perifériák kezelését segítő Synapse nevű szoftverhez köthető. A programot a gyártó saját bevallása szerint több mint 100 millió felhasználó használja világszerte, és mint kiderült, ez egy „zero day vulnerability” vagyis a hiba lényegében már a segédprogram megjelenésének pillanatától kezdve kihasználható volt. A lényeg, hogy amennyiben hozzáférünk egy internetkapcsolattal rendelkező számítógéphez, de csak korlátozott felhasználói lehetőségekkel rendelkezünk, a Razer USB csatlakozóval ellátott billentyűzetei és egerei megoldást kínálhatnak a problémánkra. Amikor a periféria csatlakoztatása megtörténik, Windows 10 és Windows 11 operációs rendszerek esetén automatikusan megkezdik a Razer Synapse szoftver letöltését és telepítését. Ez az automatizmus nem ritka azon eszközök esetén, melyek bekötése után közvetlenül csak korlátozott beállítási lehetőségekhez férünk hozzá. A magától települő Synapse tehát a felhasználók számára kiterjesztett beállítási lehetőségeket nyújt, például RGB színsémák, a különböző gombok átkonfigurálása, vagy az egerünk mintavételezési gyakoriságának meghatározása.

A telepítő alapból SYSTEM jogokkal indul (Kép: bleepingcomputer.com)


A Rendszergazdai jogok könnyed megszerzésének lehetőségére egy jonhat néven Twitterező biztonsági kutató hívta fel figyelmet, és ugyan azóta kiderült, hogy korábban többen is jelezték hasonló módon a felfedezésüket, végül ez az augusztusi bejegyzés érte el az ingerküszöböt, mely végre a Razerhez is eljutott. A rendszergazdai jogosultság a Windows legmagasabb felhasználói jogköre, mellyel lényegében bármilyen parancs vagy kód lefuttatható, bármilyen szoftver elindítható, így egyértelmű, hogy rosszindulatú és kártékony programok is. Mint kiderült, a Razer igen nehezen figyelt fel a dologra, és állítólag a szakember hiába kereste fel őket és várt a válaszukra, végül csak a Twitteren közzétett bemutatója ért célba. A rövid videóban levezette, hogyan is működik a meglepően egyszerű trükk, melyet azóta több újságíró is kipróbált és megerősítették, hogy valóban a leírtak szerint működik és nagyjából két perc alatt célt érhetünk vele. A lényeg, hogy az USB-s Razer kütyü a csatlakozását követően megkezdi a vezérlő és a Synapse szoftver telepítését. Utóbbi a RazerInstaller.exe futtatásán keresztül történik, ez pedig azonnal SYSTEM, vagyis rendszergazdai jogosultsággal fut, tehát alapvetően rendelkezik engedéllyel például friss telepítési könyvtárak létrehozására.

A parancssor megnyitásával miénk a hatalom. (Kép: bleepingcomputer.com)


A probléma pedig ebből fakad, ugyanis amikor a telepítő varázsló lehetőséget ad a célkönyvtár kiválasztására, megnyílik a „Choose a Folder”, vagyis „válasszon egy mappát” ablak, ahol a Shift billentyű és a jobb egérgomb egyidejű lenyomása után felbukkanó menüben megnyithatjuk a parancssort. A PowerShell ablak pedig szintén SYSTEM üzemmódban indul, tehát korlátlan jogosultsággal rendelkezik bármiféle értelmezhető parancs lefuttatására. Az elemzők és a saját találataikkal előrukkoló felhasználók szerint amúgy ez nem számít annyira kirívó esetnek, mert több hasonló, „plug and play” folyamat esetén elinduló telepítőprogramban is felfedezték már. Az viszont több mint kellemetlen, hogy a Razer mostanáig nem tudott róla, vagy ami még rosszabb, ignorálta az ezzel kapcsolatos visszajelzéseket. Ami nem kevésbé rossz hír, hogy az egyik próbálkozónál állítólag még a bejelentkezési képernyőn is megjelent a telepítő, ott, ahol érvényes jelszó megadásával kéne hitelesíteni megfelelő jogosultságunkat, ám Razer programja lényegében tesz nekünk egy szívességet és a kezünkbe adja ezt. Egy újabb beszámolóból pedig azóta kiderült, hogy egy másik, szintén gamer eszközeiről közismert vállalat, a SteelSeries szoftvere is hasonló módon vezethet admin hozzáféréshez.

Jól látható a rendszergazdai jogosultság (Kép: bleepingcomputer.com)


Az eset nagy figyelmet keltett, a Razert pedig több magazin is megkereste, a cég pedig azóta hivatalos válaszban ragált, melyben jelezte, hogy „tudomásukra jutott” a probléma, hogy dolgoznak rajta, és hogy nemsokára frissítik a kérdéses szoftverüket, amiből hamarosan már csak egy olyan verzió letöltése indulhat el automatikusan, mely jóval korlátozottabb lehetőségeket ad a felhasználó kezébe. Mindehhez még hozzáfűzték, hogy amennyiben bárki a Razerhez köthető biztonsági problémára lesz figyelmes, az jelezze nekik a hibabejelentő szolgáltatásukon keresztül.

2021. 08. 24

EU-s szavazás előtt az egységes USB-C töltőszabvány
Az Európai Bizottság megegyezett, küszöbön áll az egységesítés és nem csak a telefonokhoz
Igaznak bizonyult a hír, miszerint az Európai Bizottság elkészült az elektronikus eszközök közös töltőszabványát meghatározó törvényjavaslattal. A folyamat ezzel beindult, az Apple pedig készülhet, mert nagyon úgy tűnik, hogy legfeljebb néhány éve maradt töltőfejet váltani, esetleg teljes mértékben elhagyni azt.
Ahogy arról augusztusban mi is beszámoltunk, az Európai Bizottság végre eljutott odáig, hogy megkezdje és talán el is érje az egységes európai töltőszabvány bevezetését. A 2018 óta tartó huzavona végül tavaly januárban elérte egyik legfontosabb nyugvópontját, amikor az Európai Parlament elhanyagolható ellenkezés mellett egyetértett az egységes töltőcsatlakozóra vonatkozó javaslattal. Ám ekkor a konkrét technológiai szabvány még nem került meghatározásra, azonban a hivatalos közlemény szerint most csütörtökön tovább döccent a fogaskerék, a jogszabály-tervezet ugyanis beterjesztésre került, a választás pedig természetesen az USB-C szabványra esett.
A választott csatlakozó típusa tehát aligha volt meglepetés, az idáig elvezető folyamat azonban meglepően nehézkes volt. Ahogy azt tájékoztató anyagukban is írják, az elmúlt tíz év alatt megfeszített munkával érték el, hogy a harminc különböző töltőfajtából nagyjából három maradjon, ennél a pontnál azonban megtorpantak. A most benyújtott javaslat éppen ezért nem áll meg pusztán a mobiltelefonoknál, és lényegében az elektro
Nagy az étvágya az új DeepCool AK620 CPU hűtőnek
A legnagyobbakkal konkurál az új duplatornyos processzorhűtő, ráadásul jóval olcsóbban teszi
A kínai illetőségű DeepCool már 25 éve látja el a hardverek kedvelőit a legkülönfélébb termékekkel, a perifériákon és tápegységeken túl azonban elsőként talán gépházaik és hűtési megoldásaik juthatnak eszünkbe. Most utóbbi kategóriával igyekeznek öregbíteni hírnevüket, az eredményt látva nem is sikertelenül, az AK620 ugyanis egy extrém teljesítményre felkészített asztali toronyhűtő lesz, mely a legerősebb Noctua hűtővel szemben is megállhatja a helyét, és úgy tűnik, hogy jóval kevesebbet kérnek érte.
Sokat elárul a piac felső szegmenséről, hogy a Noctua hűtők csúcsának számító NH-D15 már hét éve nem talál legyőzőre, igaz, erős kihívók és korrekt alternatívák azért időről időre érkeznek. Pontosan erre vállalkozott legutóbb a DeepCool, most bemutatkozó újdonságuk ugyanis szintén a felső ligában játszik, és a legerősebb asztali processzorok mellé kínál nem csak dizájnos, de hatékony hűtést, folyadék alkalmazása nélkül. Esetünkben tehát egy újabb méretes toronyhűtőről beszélhetünk, mely kiterjedésével és masszív tömegével már első ránézésre is bizalmat kelthet a vásárlóban, azonban felmerül a kérdés, hogy miért venne valaki a legjobbhoz nagyon közel álló terméket, ha még a legjobb is forgalomban van? Ebben a kérdésben két tényező befolyásolhatja nagyban a döntést, ebből az egyik a dizájn, mely erősen szubjektív, ebben a kategóriában pedig már erősen elgondolkodtató, hogy egy nekü
Az elemzők szerint beindult a RAM-ok árzuhanása
Lassacskán enyhülhetnek a hardverpiaci árak, legalábbis ami a DRAM-okat illeti
Két csapás is egy időben sújtja a világot, hiszen a vírusfertőzés okozta gazdasági és infrastrukturális problémák csak még mélyebbre rugdosták a chiphiányt nyögő piacot, ami természetesen a felhasználók hátán csattan. Míg a gyártók folyamatos áremeléssel reagálnak a megnövekedett keresletre, a vásárlók a beszerezhetetlen termékek, a lassú utánpótlás és a történelmi léptékű bolti árak között várják, hátha véget ér ez az őrület. Úgy tűnik, hogy a piaci elemzők szerint ismét felbukkanta fény az alagút végén, a memóriaárak legalábbis hosszú idő után megindultak lefelé.
A jó hírekért ezúttal is iparági folyamatokat nagyítóval figyelő TrendForce felelős, aki napokban újabb terjengősre sikerült elemzőcikket adott ki a közelmúlt és a jelen tapasztalatairól, továbbá arról, hogy mi várható az év végéig bezárólag. A tajvani félvezetőpiaci elemző cég legújabb jelentésében, frissített becslést kaptunk a DRAM árazási struktúrájáról az utolsó negyedévre vonatkozóan, és ezzel végre valami pozitívumot vetettek az olvasók elé. A változás szelét lényegében az hozhatja el, hogy az elemzők szerint 2021 negyedévében a gyártók nem csak utolérik magukat és teljesítik a feltorlódott megrendeléseiket, de végre valahára megfordulhat a libikóka, vagyis a készletek és kínálat nagyobb lesz, mint a megrendelői igény és az ügyfeleik vásárlókapacitása. Ehhez még az is hozzátartozik, hogy egyes piaci résztvevők – els
Értékelések
Az értékeléshez be kell jelentkezned. Belépés
PCX 2006-2021.
Kapcsolat: [email protected]
Az oldal tetejére 0 Kedvenceim 0 Összehasonlítás 0 A kosár üres
Cookie / süti kezelés
Weboldalunkon cookie-kat használunk, melyek célja, hogy teljesebb körű szolgáltatást nyújtsunk a Részedre. Tudj meg többet...