鍵盤成為資安破口並非什麼鮮事,我們每過一陣子就會聽到駭客透過 Keylogger 擊鍵記錄器竊取使用者帳密的新聞事件。但駭客想讓 Keylogger 發揮作用,還是得經過一連串釣魚郵件 / 網站,以及引誘受害者下載惡意程式或點取惡意連結等手法才能辦得到。
如今知名電競週邊商品潮牌商 Raser 雷蛇與 SteelSeries 旗下鍵盤 / 滑鼠自訂軟體,竟不約而同地被發現零時差漏洞,該漏洞可以讓任何人都可以獲得系統最高存取權限,有心人可藉此安裝任何程式,不僅會有帳密及其他機密資料外洩的風險,也有淪為殭屍電腦的可能性。
在 Twitter 上取名 jonhat 的安全研究人員表示,他們將 Razer 週邊裝置連接上 Windows 10 PC 之後,使用者便立即獲得該電腦的完全系統權限。換言之,任何人都可透過這樣的動作,獲得一台 Windows PC 的最高存取權限,然後安裝任何想要的程式,包括 Keylogger、Bot、木馬或間諜軟體等惡意軟體。
根據美國資安新聞網站《BleepingComputer》的實測,從連接 Razer 滑鼠到獲取完全 Windows 10 系統權限只花了 2 分鐘就搞定。使用者只要一安插滑鼠,就會自動安裝好驅動程式與 Synapse 設定軟體。對於 Razer 粉絲而言,Synapse(目前為 2.0 版)是個熟悉又好用的工具程式,可以方便指定巨集並將設定自動儲存雲端。
明明是競爭對手的 SteelSeries,竟然也出現相同尷尬的局面,其旗下可用來改變光源效果與設定巨集的 Engine 應用程式也潛藏相似的安全漏洞。一旦安插 SteelSeries 鍵盤,使用者可以 Windows 10 命令列提示字元存取完全的管理權限。
Raser 目前決定變更系統會安裝的應用程式,以限制上述使用狀況的發生,並會在近期釋出更新版,讓今後的軟體在使用上不會允許未授權的第三方存取任何電腦。至於 SteelSeries 會主動將新裝置一連上的應用程式自動觸發安裝動作關閉。
(首圖來源:Raser & SteelSeries)
留言 0