Windows 10: Administrator-Privilegien per Razer-Maus über LPE-Schwachstelle erhalten

Windows[English]Der Anschluss einer Razer-Maus reicht, um sich als Standardnutzer administrativen Privilegien zu verschaffen. Hintergrund ist, dass die Treiberinstallation mit SYSTEM-Rechten ausgeführt wird und sich dann vom Benutzer eine administrative Eingabeaufforderung öffnen lässt. Schon hat er administrativen Zugriff auf das System. Razer hat auf Nachfrage des Entdeckers der Schwachstelle nicht reagiert.


Anzeige

Wer direkten Zugriff auf ein Windows 10-System hat, kann dort allerlei Schweinereien treiben. Wie leicht es aber ist, sich durch das Einstöpseln einer Maus administrative Privilegien als Standard-Benutzer zu erhalten, hat mich dann doch überrascht.

Razer-Maustreiber-Installation als Schwachstelle

Ich bin auf Twitter gerade von anderen Benutzern auf den betreffenden Tweet von @jonhat aufmerksam gemacht worden. Dieser ist auf eine Schwachstelle gestoßen, die eine Local Privilege Escalation (LPE) ermöglicht.

Windows 10 LPE via Razer mouse

Es reichte eine Razer-Maus (oder den Dongle) an einen USB-Port eines Windows 10-Rechners anzuschließen. Dann wird der RazerInstaller über Windows Update heruntergeladen und als SYSTEM ausgeführt. In dem in obigem Tweet eingebetteten Video sieht man, wie der Anwender durch die Schritte der Treiberinstallation unter einem Standard-Benutzerkonto geführt wird. So weit so gut. Während der Installation lässt sich der Razer-Treiber im Download-Ordner auswählen (siehe folgendes Bild – eine bessere Qualität weist dieses Video auf).

Razer driver selection and context menu
Zum Vergrößern klicken

Im Dialogfeld zur Treiberauswahl kann aber auch ein Kontextmenü zum Öffnen der PowerShell-Konsole aufgerufen werden. Hier wäre bereits denkbar, als Zielordner den Desktop oder einen anderen vom Benutzer kontrollierten Ordner für die Treiber anzugeben. Dann wäre ein Hijacking durch Austausch der Treiberdateien oder ggf. DLL-Hijacking möglich.

Aber es geht noch mehr. Da die Treiberinstallation mit SYSTEM-Rechten läuft, erhält das Dialogfeld diese Rechte ebenfalls. Die SYSTEM-Rechte werden auch an das Fenster der PowerShell-Konsole weitergereicht. Der Standardbenutzer hat nun administrative Berechtigungen. Will Dormann weist darauf hin, dass dieses Szenario bei allen Treibern, die über USB-Gerät zur Installation angefordert werden, möglich sei.

Diese Installation wird übrigens jedes Mal angestoßen, wenn das USB-Gerät an einem neuen USB-Port angeschlossen ist. Und das Ganze hat noch einen weiteren Aspekt. Mit entsprechenden Geräten können die Hardware-ID einer Razer-Maus emuliert werden.


Anzeige

Hardware ID: usb\vid_1532&pid_0078&mi_02
Update ID: f3073b05-17af-4abf-98a1-d93b4c5af0cd

@jonhat hat versucht, Razer auf das Thema anzusprechen, blieb aber erfolglos. Erst aufgrund der jetzt aufkommenden Twitter-Diskussion hat sich jemand vom Razer Social Media-Team gemeldet und will sich kümmen.

Razer kommt endlich in die Hufe

Als ich gestern diesen Blogbeitrag veröffentlichte, war der Fall noch offen. Aber der neueste Tweet von @j0nh4t:

Razer, new development

Da kommt also jemand in die Pushen. Aber es klang ja hier in den Kommentaren an, dass die Begeisterung über die Produktqualität von Razer nicht so dolle gesehen wird. Zu obigem Tweet, der die "professionelle Handhabung durch Razer" lobt, haben sich dann auch Gegenstimmen gemeldet. Der nachfolgende Tweet liest sich wie ein Scherz, der Racer -Support wollte von einem Nutzer, der eine Kontaktaufnahme versuche, irre viele Angaben haben.

Racer recommends many information

Der Nutzer versucht seit einem Jahr die Supporter auf das Problem aufmerksam zu machen – und wollte jetzt die Aufmerksamkeit ergreifen, um einen neuen Fall aufzumachen – mit den oben nachlesbaren Fakten. Und es gibt noch einen interessanten Tweet, der skizziert wie die Leute es mit einem O.MG Hacker-Kabel (verhält sich wie ein USB-Gerät) geschafft haben, sich unter Gast-Konto administrative Berechtigungen in Windows 10 zu beschaffen.

Still more in stock with Racer

Bringen wir es auf den Punkt: Das System ist einfach kaputt. Deshalb möchte ich nur einen letzten Tweet mit Verweis auf diesen Beitrag hinterlassen, ohne ihn zu kommentieren.

#RazerNightmare

Es ist zwar in allen Fällen ein direkter Zugriff auf das System erforderlich, aber abschließend sollte sich jeder die Frage "wie geht es mit Windows 11 weiter?" stellen. Microsoft bläst ja jetzt ins Horn "wir brauchen neue Hardware mit TPM 2.0 und aktuellen CPUs – alles wird sicherer", aber unter der Haube werkelt weitgehend der alte Code. Diese Frage beantwortet sich aber jeder selbst.

Ergänzung: Sicherheitsforscher Will Dormann weist in diesem Tweet darauf hin, dass ein Registrierungseintrag DisableCoInstallers = 1 unter:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Device Installer\

die Ausnutzung unterbindet (der Co-Installer wird blockiert).


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Windows 10 abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

22 Antworten zu Windows 10: Administrator-Privilegien per Razer-Maus über LPE-Schwachstelle erhalten

  1. 1ST1 sagt:

    Mit entsprechenden Geräten können die Hardware-IDs beliebiger Geräte emuliert werden. Das ist nicht auf Razer oder USB beschränkt.

  2. Henry Barson sagt:

    Offtopic:
    Als jemand, der noch mit wabbeligen 5,25" Disketten und 28.8er Modems in Berührung kam empfinde ich 407 MB für einen einfachen Maustreiber schon leicht verstörend, aber auch mal wieder schöne Sonntagslektüre, wie kaputt die (Windows-)Rechnerwelt ist. 🤪

    • Frank sagt:

      Das liegt aber nicht an Windows, sondern an den Geräte-Herstellern die halt tausend unnütze Sachen in Ihre Treiberpakete integrieren um so die "Nutzererfahrung" erheblich zu "verbessern".

    • Zocker sagt:

      Auch wenn ich dir grundsätzlich zustimme, handelt es sich hierbei nicht nur um einen Treiber für Mäuse, sondern auch für Tastaturen und Headsets. Da man diese stark individualisieren kann wird auch eine entsprechende GUI mitgeliefert. Und natürlich auch eher unnützes Zeug. Das nur mal als kleine Erklärung.
      Da heutige Speicher etwas größer als eine Diskette sind und auch das Internet etwas schneller als 28 kbit/s ist, wird heute leider kein Wert mehr auf hohe Effizienz gelegt. Dass sich das jedoch bemerkbar macht, wage ich zu bezweifeln.

      Achja, war nicht Razer der Hersteller, bei dem man die gekaufte Hardware aktivieren musste, damit man sie nutzen kann?

      • Dat Bundesferkel sagt:

        "Achja, war nicht Razer der Hersteller, bei dem man die gekaufte Hardware aktivieren musste, damit man sie nutzen kann?"

        Auch, aber nicht nur. Völlig überteuerte Gammel-Peripherie mit äußerst minderwertiger Verarbeitung. Klassiker waren Tastaturen, die Wackelkontakte hatten und mittels "Cent-Stück" überhaupt nutzbar gemacht werden mußten (Verbindungskabel, Eingang Tastatur), oder Leertaste der Chroma mit kaputtem Bügel selbiger Taste.

        Die allgemeine Verarbeitung der Razer-Hardware entspricht dem Niveau von chinesischen OEM-Produkten in der 20 Euro Kategorie. Da sie aber werbetechnisch die Gamerkiddies erreichen konnten, erzielen sie Mondpreise für ihren Sondermüll.

        Dass bei Razer niemand reagiert hat, ist wenig verwunderlich. Ist bei fast allen Produkten chinesischer Herkunft so: Sobald der Schriftwechsel etwas technischer versiert wird, verstehen die Mitarbeiter diesen nicht mehr bzw. wollen diesen nicht weiter verfolgen, da sie nur für kurze Responsemails bezahlt werden.

        Betrifft leider auch viele andere Produkte, die sicherheitsrelevant sind (Kameras, bspw.). Selbst wenn man dem Hersteller einen gefunden Bug auf dem Silbertablett mit Lösung präsentiert, tut sich da nur selten was.

        • Zocker sagt:

          "Die allgemeine Verarbeitung der Razer-Hardware entspricht dem Niveau von chinesischen OEM-Produkten in der 20 Euro Kategorie."

          So sehen sie auch aus. Mich hat das Design jeglicher Peripherie von denen immer total abgeschreckt. Und Onlineaktivierung von Hardware geht gar nicht.

          "Da sie aber werbetechnisch die Gamerkiddies erreichen konnten, erzielen sie Mondpreise für ihren Sondermüll."

          Generell verdoppelt LED oder hässliches Design gefühlt den Preis, weil der Rechner dadurch schneller wird…

          "Betrifft leider auch viele andere Produkte, die sicherheitsrelevant sind (Kameras, bspw.). Selbst wenn man dem Hersteller einen gefunden Bug auf dem Silbertablett mit Lösung präsentiert, tut sich da nur selten was."

          Die Hardware wird oft in China eingekauft. Treiber und Firmware nur mit entsprechendem Logo versehen und ggf. bekommt die Hardware ein anderes Gehäuse. Die Hersteller müssten sich dann an den OEM-Hersteller wenden. Machen die meist natürlich nicht oder den gibt es gar nicht mehr bzw. ist von dem nichts zu erwarten…

    • theo sagt:

      Ist auch eine mir unverständliche Entwicklung.
      Andere schaffen es ein komplettes Schachspiel (Yea Chess v4.87) mit gerade mal 73 kB zu realisieren.

  3. der bug ist das ziel sagt:

    problem ist doch dann dass microsoft so grottige qualitaet in ihre treiber repositories ueberhaupt reinlaesst.

    meines wissens nach laesst msft ueberhaupt nichts ohne whql oder aehnliche zertifikate bzw test suiten durchlaufen zu haben in diese repositories fuer auto/install durch z.b. devicemanager oder auto/winupdate install von treibern.

    dann ist doch microsoft die oberfailfirma dass sie was dort reinlassen bzw ueberhaupt ein ok-zertifikat sprich whql cert verteilen fuer software die sich so verhaelt naemliche shells offen laesst usw.

    warum man bei microsoft usb-basierte und standard devices wie maus etc ueberhaut mit treibern erlaubt etc pp ist doch mal der ganz andere grundlegende witz

    der bug ist das ziel

    • Zocker sagt:

      WQHL sagt über die Qualität eines Treibers doch gar nichts aus. Es gab schon so viele Treiberversionen, die trotz Logo einfach nur Müll waren und Bluescreens verursachten. WQHL ist eher so etwas wie ein CE-Zeichen: eine Einschätzung des Herstellers ohne eine belastbare Garantie.

  4. To Ka sagt:

    Ich habe einfach keine Lust mehr. Jeden Tag eine neue Sicherheitslücke, ohne Aussicht auf Besserung. Einfach nicht mehr zu beherrschen.

  5. Sascha sagt:

    Das Dialogfeld wird mit Systemrechten ausgeführt, dieses kann sie an den Fensterprozess weitergeben, der sie an das Kontextmenü weitergeben kann. Hmmh, ich finde den Fehler einfach nicht.

  6. Grabs sagt:

    Ich benutze einige Peripherie, auch über Dongle, aber ein Programm zur atomatisierten Verwaltung musste ich noch nie herunterladen und wurde auch noch nie beim Einstecken in die USB-Ports installiert. Was bitte läuft hier falsch?

    • Zocker sagt:

      Gar nichts läuft hier falsch. Wenn du die Möglichkeiten deiner Peripherie nicht ausnutzen willst, dann lass es einfach und hol dir einfach eine 0815-Maus.

  7. OwenBurnett sagt:

    Also ehrlich gesagt finde ich so was eigentlich sehr positiv!
    Aus Perspektive eines Benutzers der Herr über seine Hardware ist und bleiben will.
    Ist alles was einem System rechte gewehrt schon mal gut und solange es User Interaktion erfordert auch sicher genug. Dank UIPI wird ein nicht System Prozess in selber Session nicht in der Lage sein das Open Dialog welches Systemrechnte hat zu bedienen.

    MSFT versucht ja die Benutzer Scheibchen weise zu entmündigen, da ist alles was dem zuwider läuft oder aufzeigt wie vergeblich dieses unterfangen ist schon mal sehr sehr gut.

    Aber ja klaar aus der Perspektive einer firma die einem angestelltem ein verdongelten laptop stellen will ist das natürlich ärgerlich. LOL ist aber nicht mein Problem

  8. Anonymous sagt:

    Ist doch eigentlich sogar stimmig. Maus und Tastatur mit eingebautem God Mode ;)

  9. Micha sagt:

    Da müsste man wieder soweit zurückgehen das Windows Update nur einen Treiber liefert der eine grundlegende Funktion des Gerätes ermöglicht. Das bedeutet bei einer Maus das der HID Treiber geladen wird. Wenn eine zusätzliche APP Installiert werden soll, muss diese halt der Benutzer von der Seite des Geräteherstellers manuell herunterladen.

    Verschiedene Beiträge im Diablo III Forum haben sich schon damit beschäftigt das Razer Treiber das Spiel zum Absturz bringen können. Die Lösung war dann immer alle Razer Treiber zu deinstallieren.

    Ich weiß sowieso nicht weshalb alles an einem PC Bunt leuchten soll. Die Status LEDs reichen mir völlig aus.

    Als Tastatur nutze ich eine Cherry G80-3000. Cherry Schalter sind häufig auch in der Bunt beleuchteten Version in Gaming Tastaturen verbaut. Die Maus ist eine Microsoft Optical Maus 200.

  10. Michael sagt:

    ab Windows 1909 gibt es die GPO "Prevent installation of devices that match any of these device instance IDs" in Computer > System > Device Installation > Device Installation Restrictions, wo man die Hardware ID: usb\vid_1532&pid_0078&mi_02 einfügen kann. Konnte das vielleicht schon jemand testen ob das ausreicht zur Mitigation? Habe leider keinen USB Device Emulator noch eine Razer Mouse zum Testen.

    • Günter Born sagt:

      Sofern Du ein gerootetes Android-Smartphone haben solltest -> schau dir mal dieses GitHub-Projekt an.

      Ich blicke aber noch nicht so ganz durch, wie das genutzt werden kann. Mit adb und der shell konnte ich das Script nicht erfolgreich ausführen, es bringt mir jede Menge not found Fehler. Muss wohl in einem gerooteten Terminalfenster oder einer gerooteten Shell ausgeführt werden.

  11. Phadda sagt:

    Also ich kann das Problem nicht nachstellen …

    OS W10 64 Bit – 21H1 – 19043.1165
    Mouse Razor Death Adder RZ01-0084
    HW ID HID\VID_1532&PID_0037&REV_0200&MI_00
    Anzeigename HID-konforme Maus
    Datum Erstinstallation 06.08.2021 16:58:17

    Windows Update hat weder Optionale Updates noch normal was im Angebot für die Mouse. Optionale Updates wird grad ein Conexant Driver aktualisiert.

Schreibe einen Kommentar zu Zocker Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.