最近|雷蛇鼠标被发现存在安全漏洞最近

最近，某些雷蛇鼠标被发现存在巨大的安全漏洞，允许任何用户获得对PC的管理员级别访问权限。

文章图片
推特用户jonhat发现，在安装雷蛇鼠标时启动的安装软件会意外地让用户可以让他们使用标准的非管理员账号登录时以系统级别访问Windows的文件浏览器。

文章图片
当任何新的USB设备插入运行Windows系统的电脑时，该设备会临时获得系统级别的访问权限（这是Windows用户层次结构中的最高权限级别），因此驱动程序可以安装在Windows文件夹中。这通常是一个不涉及用户的后台进程。
【最近|雷蛇鼠标被发现存在安全漏洞】但是，首次插入雷蛇鼠标会打开RazerSynapse软件的安装程序，让用户可以选择安装软件的位置。
如果用户选择更改默认安装位置，该软件将打开一个文件资源管理器窗口，让他们选择一个新的安装文件夹。
但是，由于此窗口是在安装过程中打开的，因此该软件仍具有系统级权限，这意味着用户在技术上具有管理员访问权限。

文章图片
Jonhat发现，通过在此窗口上按住Shift键右键点击，用户可以打开一个WindowsPowershell窗口，这为他们提供了一个具有完全管理员权限的命令行窗口。
在PC上具有管理员访问权限的用户可以完全控制PC的软件和设置。他们可以访问PC上的所有文件、更改安全设置以及安装软件和硬件。
理论上最坏的情况下，拥有雷蛇鼠标的人可以使用此变通方法在未得到适当保护的PC（网吧、办公室、朋友的电脑）上安装恶意软件或间谍软件（例如键盘输入记录软件）。
在jonhat发现这一漏洞几天后，他在推特上发帖称，雷蛇已与他联系，并告诉他其安全团队正在“尽快修复” 。
但是，其他用户此后在其他带有安装软件的USB硬件中发现了类似问题，例如游戏硬件公司赛睿的软件，因此看来这是一个系统安全漏洞，可能需要由微软自己解决。