Peripherie von Razer & Asus: Treiberinstallation gewährt Admin-Rechte

Update 2 22.8.2021 12:49 Uhr

Durch die automatische Installation von Treibern über Windows Update können Angreifer mit Hilfe von Peripherie von Razer und Asus Admin-Rechte erlangen. Dazu ist es lediglich nötig, ein entsprechendes Eingabegerät oder einen entsprechenden Dongle an den betroffenen Rechner zu stecken, was Zugriff auf die Hardware vorausetzt.

Razer reagiert bislang nicht

Auf Twitter publizierte Nutzer „jonhat“ ein Video, das das Ausnutzen des Hacks zeigt. Die Veröffentlichung erfolgte nach eigenen Angaben, nachdem Razer auf Kontaktversuche keine Reaktion zeigte.

Im Rahmen von Responsible Disclosure handelt es sich um ein übliches Vorgehen, um die Aufmerksamkeit doch noch auf das Problem zu lenken.

Need local admin and have physical access?
- Plug a Razer mouse (or the dongle)
- Windows Update will download and execute RazerInstaller as SYSTEM
- Abuse elevated Explorer to open Powershell with Shift+Right click

Tried contacting @Razer, but no answers. So here's a freebie pic.twitter.com/xDkl87RCmz
— jonhat (@j0nh4t) August 21, 2021

Es reicht so zu tun

Während der Treiber installiert wird, kann die Eingabeaufforderung von einem normalen Nutzerkonto über den Explorer mit Administrator-Rechten aufgerufen werden. Denn der Treiber benötigt als Gerätetreiber für die Installation entsprechende Rechte, die der Explorer erhält; das Aufspielen erfolgt auf Systemebene. Wird das Installationsverzeichnis auf den Desktop gelegt, kann der Hack persistent gemacht werden, indem die Datei während des Bootvorgangs ausgeführt wird.

Dabei ist es nicht einmal nötig, das betroffene Eingabegerät zu besitzen. Laut Sicherheitsexperten Cristian Mariolini lässt sich die Vendor-ID auch einfach vortäuschen („Spoofing“), um den Installationsprozess auszulösen. Dies lässt sich etwa über einen günstigen Arduino oder Raspberry realisieren, was den Kauf teurer Gaming-Hardware erspart. Darüber hinaus kann die Installation durch Wechsel des USB-Ports erneut angestoßen werden.

Der Hack wird zwar mit Eingabegeräten von Razer demonstriert, die die Snyapse-Software benötigen, lässt sich aber laut einem Kommentar im Twitter-Thread auch mit ROG-Mäusen nutzen. Eine weitere Bestätigung dafür, die sich unter der Twitter-Veröffentlichung für Razer-Produkte findet, gibt es für ROG-Produkte jedoch noch nicht.

Von Razer selbst gibt es noch keine vollständige Stellungnahme. Auf Twitter hat sich nur das Social-Media-Team zu Wort gemeldet und „jonhat“ darum gebeten, die Fallnummer zu übersenden, damit das Problem an die zuständigen Mitarbeiter weitergeleitet werden könne. Dies wird als unzureichend kritisiert: Razer solle das Problem ohne weiteren äußeren Input bearbeiten, lautet der Tenor in den Kommentaren.

Geringe Gefahr

Unabhängig der Reaktion von Razer ist die Gefahr zumindest für Heimanwender erst einmal gering. Sie haben in der Regel bereits Administratorzugriff auf den Rechner. Zudem wird ein physikalischer Zugang zum Rechner benötigt um den Hack nutzen zu können, aus dem Internet droht keine Gefahr. In Firmennetzwerken laufen Rechner hingegen häufig administriert, Windows Update wird dort zentral gesteuert.

Hey Jonhat! Thanks for bringing this to our attention. Let us assist you with your concern. Send us a DM with your case number so we can escalate it to the relevant team.
— RΛZΞR Support (@RazerSupport) August 22, 2021

Update 23.08.2021 10:31 Uhr

In einer Stellungnahme, die ComputerBase per Mail bekommen hat, kündigt Razer an, an einer Lösung zu arbeiten. Das Unternehmen spricht von einem „sehr spezifischen Anwendungsfall“, der in Kürze „begrenzt“ werden solle. Der Einsatz von Razer-Software inklusive der Installationsroutinen gewähre unauthorisierten Dritten „keinen Zugriff auf den Rechner“, so Razer. Diese Zusicherung erscheint insofern korrekt, als dass ein normales Nutzerkonto mit entsprechendem Login nötig ist, um den Fehler nutzen zu können.

We were made aware of a situation in which our software, in a very specific use case, provides a user with broader access to their machine during the installation process.

We have investigated the issue, are currently making changes to the installation application to limit this use case, and will release an updated version shortly. The use of our software (including the installation application) does not provide unauthorized third-party access to the machine.

We are committed to ensuring the digital safety and security of all our systems and services, and should you come across any potential lapses, we encourage you to report them through our bug bounty service, Inspectiv: https://app.inspectiv.com/#/sign-up.
Razer

Update 30.08.2021 09:10 Uhr

Asus hat das Problem ebenfalls untersucht. Das Unternehmen schließt in seiner ComputerBase übersandten Stellungnahme aus, dass die Armoury-Crate-Software ihren Anwendern Administrationsrechte während der Installation gewährt. Darüber hinaus wird eine Mailadresse genannt, an die Sicherheitslücken gemeldet werden können.

We are aware of a few online articles claiming a potential security issue concerning ASUS Armoury Crate.

We would like to clarify that ASUS Armoury Crate does not grant normal users System Admin permissions during the installation process.

We take digital security and safety very seriously, and encourage users who encounter such issues to report it to the ASUS Customer Service team at security@asus.com
Asus