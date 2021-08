Vereint beim selben Sicherheitsproblem: Steelseries und Razer. Foto: Steelseries

Als bekannt wurde, dass man sich über die nach dem Anschließen einer Razer-Maus von Windows Update automatisch gestartete Installation der "Synapse"-Treibersoftware Zugriff auf die Kommandozeile mit vollen Rechten verschaffen kann, vermutete der Sicherheitsforscher Will Dormann, dass diese Sicherheitslücke wohl nicht nur das Razer-Setup-Programm betrifft. Er sollte recht behalten.

Bereits am selben Tag zeigte der Entwickler und Hacker Lawrence Amer auf, dass ein fast identer Exploit auch möglich ist, wenn ein Nutzer mit Gastrechten ein neueres Gerät des Gaming-Hardware-Herstellers Steelseries an den Rechner anschließt.

Umweg über Browser

In diesem Fall startet nämlich der Installationsprozess für die "Steelseries GG"-Software. Sie lädt im ersten Schritt das Setup-Paket für selbige herunter und führt dieses dann aus. Hier findet sich im ersten Dialog ein Link zu weiteren Informationen betreffend die Nutzungsbedingungen. Klickt man diesen an, so wird diese im unter Windows 10 konfigurierten Standard-Browser geöffnet, der dabei mit vollen Rechten ausgestattet ist.

Hier kann man nun über den "Speichern unter"-Dialog zum Herunterladen der geöffneten Website eine Instanz des Windows Explorers starten, die über die gleichen Rechte verfügt. Und, wie schon beim Razer-Setup, ist darüber der Aufruf der Eingabeaufforderung oder Powershell-Kommandozeile möglich, die ebenfalls die volle Berechtigungsausstattung erbt. Angreifer können sich hier beliebig austoben, Daten abgreifen, Malware installieren oder sich überhaupt gleich ihrem Konto Admin-Rechte geben.

Weitere Fälle wahrscheinlich

Es ist anzunehmen, dass auch weitere Programmpakete auftauchen, bei denen nach dem Anstecken eines Geräts das gleiche Problem auftritt und eine derartige Privilege Escalation ermöglicht.

Allerdings muss nach wie vor einschränkend angeführt werden, dass die Gefährlichkeit dieser Lücke stark davon eingeschränkt wird, dass sie physischen Zugriff auf einen Rechner (und ein passendes Gerät) erfordert und nicht aus der Ferne ausgenutzt werden kann. (gpi, 26.8.2021)