Obtener privilegios de administrador en Windows 10 conectando un ratón Razer

Usuario de Twitter, llamado @jh0nh4t, descubrió un método para hacerse con permisos de administrador en un sistema Windows 10 que requería únicamente que el usuario conectara un ratón Razer al equipo.

Razer es una de las empresas más importantes del mundo gaming. Especialmente se le conoce por sus populares periféricos y componentes para los equipos, tales como ratones, teclados, micrófonos, cascos…

Razer Synapse es el software de control que el popular fabricante de periféricos y equipos de alto rendimiento entrega con sus dispositivos. Sirve para configurarlos, asignar macros, botones o gestionar la iluminación y su uso es obligado para las decenas de millones de usuarios que usan hardware del fabricante. 

Vulnerabilidad

• Vulnerabilidad permitía a un atacante escalar directamente a SYSTEM, es decir, permitía ejecutar comandos como administrador.
• Este fallo se encuentra en el software de la compañía llamado Razer Synapse. Más concretamente en el asistente de instalación del mismo, que se inicia automáticamente al conectar el periférico al ordenador.

Tras ser detectado gracias al sistema Plug&Play, Windows Update descarga e instala RazerInstaller, que incluye los drivers y el software de configuración del dispositivo. El instalador nos proporciona la opción de instalar el software en la carpeta que prefiramos.

Pero también permite abrir una instancia del Explorador de Windows que se ejecuta con los mismos privilegios que el propio instalador (es decir, como SYSTEM).

Tras eso, es posible iniciar una terminal Powershell desde dicha carpeta (Mayús + clic derecho en la ventana), en cuyo caso a Powershell se le conceden los permisos de la carpeta desde la que se inició.

Una vez llegados a ese punto, resulta posible hacer cualquier cosa con esos privilegios de administrador, de tal modo que si quien conectó el ratón no era el legítimo administrador del equipo, éste ha quedado ya totalmente comprometido.

Si un usuario, aunque no sea administrador, añade un nuevo dispositivo, Windows buscar los drivers adecuados. El programa de instalación de los drivers se ejecuta con la cuenta privilegiada SYSTEM para poder instalarse correctamente. El problema es que el instalador de Razer permite elegir el destino de los ficheros de instalación, para ellos, supongo de nuevo, abre una ventana del explorador de Windows. Ese proceso hijo del proceso de instalación se ejecuta también con los mismos permisos. Y desde esa ventana del explorador se puede hacer de todo, desde modificar ficheros, abrir una consola powershell... Todo con los mismos permisos que el explorador.  Por tanto el problema es de Razer al permitir abrir una ventana del explorador de ficheros con los mismos permisos que el proceso del instalador. 

Las explicaciones de Razer

Según @jh0nh4t, él mismo se puso en contacto con Razer cuando detectó la vulnerabilidad, pero ante el completo silencio por parte del fabricante de hardware, optó por hacerla pública. 

Respuesta de la compañía

Desde Razer finalmente han agradecido al investigador de seguridad por su trabajo, añadiendo que recibirá una recompensación económica a pesar de haber hecho pública la vulnerabilidad. Así mismo, han anunciado que están trabajando para solucionar esta vulnerabilidad con la mayor brevedad posible.

 Dispositivos SteelSeries con el mismo comportamiento

Confirmando el comentario del analista del CERT, otro investigador ha descubierto una vulnerabilidad similar de escalada de privilegios en la aplicación de control de los periféricos de SteelSeries. Y ni siquiera es necesario un dispositivo SteelSeries real para que este ataque funcione, se puede virtualizar.

El investigador ha publicado un script de código abierto que puede imitar los dispositivos de interfaz humana (HID) en un teléfono Android, específicamente para probar escenarios de escalada de privilegios locales (LPE). También se ha publicado un video.

Soluciones - Mitigaciones

Como descubrió por primera vez Will Dormann, un analista de vulnerabilidades de CERT / CC, es posible configurar un valor del Registro de Windows que bloquea la instalación de los co-instaladores durante la función Plug-and-Play.

Para hacer esto, abra el Editor del Registro y navegue hasta la clave de Registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Device Installer 

Debajo de esa clave, agregue un valor DWORD-32 llamado DisableCoInstallers y configúrelo en 1, como se muestra a continuación:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Device Installer]

"DisableCoInstallers"=dword:00000001

Una vez habilitado, Windows bloqueará la instalación de co-instaladores cuando conecte un dispositivo USB asociado a su computadora.

Es importante tener en cuenta que realizar este cambio bloqueará la instalación automática del software de configuración de un dispositivo. En su lugar, deberás descargarlo e instalarlo manualmente desde el sitio del proveedor.

Sin embargo, el inconveniente vale la seguridad adicional recibida al bloquear la instalación de aplicaciones potencialmente explotables durante el proceso Plug-and-Play de Windows. 

Fuentes:
https://unaaldia.hispasec.com/2021/08/descubierto-0day-critico-en-software-para-perifericos-razer.html

https://www.genbeta.com/seguridad/todo-que-necesitas-para-obtener-privilegios-administrador-windows-10-conectarle-raton-razer