编辑：左右里、釉子

近年来电子竞技迅猛发展，随之也带动了很多产业的发展。其中就有一家公司抓住机遇，利用产品优势，一举成为专业竞技设备的代名词，在中国的电子竞技玩家中享有很高的声誉，它就是雷蛇Razer。

近日，这家世界上最大的游戏外设公司之一爆出一个0day漏洞，攻击者只需通过插入雷蛇鼠标或键盘就能获取Windows系统权限。

这个本地提权漏洞是安全研究员Jonhat发现的，在联系雷蛇无果后，他在Twitter上披露了该漏洞，并演示了该漏洞的工作原理：

将雷蛇设备插入Windows 10电脑，操作系统会自动下载安装Razer Synapse——问题就出现在这里。由于RazerInstaller.exe是通过以系统权限运行的Windows进程启动的，Razer安装程序也继承了系统权限。

在选择安装位置这一步骤shift + 右键然后点击“在此打开PoweShell窗口”，在打开的PowerShell窗口输入“whoami”命令，显示“nt authority\system”（具有最高权限的本地系统帐户），允许访问所有本地系统资源、执行任意命令。

从这个漏洞的原理可以猜测，并不是只有雷蛇存在这个漏洞，其他即插即用自动下载安装软件的外设可能也会存在类似的问题。

这个漏洞的危害程度高、利用难度低且暂时没有解决对策，因此得到了广泛关注，雷蛇方面对此称不久就会发布修复方案。此外雷蛇还表示虽然Jonhat已经公开披露了该漏洞，但仍会给予其漏洞赏金。

值得庆幸的是，该漏洞的可利用性不高，因为攻击者首先需要能实际接触到你的设备，所以大家也不用过分担心。

文章来源：BleepingComputer

推荐文章++++

* 尼日利亚CEO为筹集资金，招募企业内部员工部署勒索软件

* CISA曝摄像头大漏洞！超8300万台设备受影响

* 世界上最大的暗网黑市AlphaBay复活

* Avast、AVG、Avira三A合一，诺顿正式发起要约收购Avast

* 亚马逊和谷歌DNS服务存在严重漏洞！动态DNS更新可遭泄露

* 数百万台操作技术设备受影响，研究人员披露INFRA：HALT漏洞

* PTS气动管道系统爆9个漏洞！北美80%大型医院受影响

﹀

﹀

﹀

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com