Kerentanan zero-day Razer Synapse telah diungkapkan di Twitter, memungkinkan Anda untuk mendapatkan hak istimewa admin Windows hanya dengan mencolokkan mouse atau keyboard Razer.
Razer adalah produsen periferal komputer yang sangat populer yang dikenal dengan mouse dan keyboard gamingnya.
Saat mencolokkan perangkat Razer ke Windows 10 atau Windows 11, sistem operasi akan secara otomatis mengunduh dan mulai menginstal perangkat lunak Razer Synapse di komputer. Razer Synapse adalah perangkat lunak yang memungkinkan pengguna untuk mengkonfigurasi perangkat keras mereka, mengatur makro, atau tombol peta.
Razer mengklaim bahwa perangkat lunak Razer Synapse mereka digunakan oleh lebih dari 100 juta pengguna di seluruh dunia.
Peneliti keamanan jonhat menemukan kerentanan zero-day di instalasi Razer Synapse plug-and-play yang memungkinkan pengguna untuk mendapatkan hak istimewa SISTEM pada perangkat Windows dengan cepat.
Setelah tidak menerima tanggapan dari Razer, jonhat mengungkapkan kerentanan zero-day di Twitter dan menjelaskan cara kerja bug dengan video pendek.
Need local admin and have physical access?
– Plug a Razer mouse (or the dongle)
– Windows Update will download and execute RazerInstaller as SYSTEM
– Abuse elevated Explorer to open Powershell with Shift+Right clickTried contacting @Razer, but no answers. So here's a freebie pic.twitter.com/xDkl87RCmz
— jonhat (@j0nh4t) August 21, 2021
Seperti yang dijelaskan oleh Will Dormann, Analis Kerentanan di CERT/CC, bug serupa kemungkinan besar ditemukan di perangkat lunak lain yang diinstal oleh proses plug-and-play Windows.
Setelah kerentanan zero-day ini mendapat perhatian luas di Twitter, Razer telah menghubungi peneliti keamanan untuk memberi tahu mereka bahwa mereka akan mengeluarkan perbaikan.
Selengkapnya: Bleeping Computer