Lorsque vous branchez vos appareils périphériques, un pilote est installé quasi automatiquement dans Windows. Mais chez Razer, cela se fait avec pas mal de possibilités supplémentaires. Un chercheur en sécurité actif sur Twitter sous le pseudonyme Jonhat montre comment il est parvenu à jouir de privilèges système avec un simple compte.

En branchant une souris ou un clavier de Razer, le logiciel Razer Synapse s'installe, vous permettant de choisir dans quel dossier vous voulez le placer. Dans ce dossier, vous pouvez via shift + un clic sur le bouton droit de la souris choisir d'ouvrir une fenêtre PowerShell où se trouvent vos privilèges système. De là, vous exercez alors un contrôle complet de la machine, même si vous le faites au départ d'un compte hôte ou d'un compte sans droits d'administrateur.

Il ne s'agit pas d'un bug susceptible d'être exécuté à distance, ce qui rend le risque d'attaques relativement limité. Mais le fait est que quiconque ayant un accès physique à un appareil peut en prendre sans trop de difficultés le contrôle complet.

Jonhat a tenté de prendre contact avec Razer à propos du bug, mais n'ayant pas reçu de réponse, il a jugé bon de procéder à la démonstration de la faille sur Twitter. A présent, il indique que Razer va rapidement corriger le bug et que l'entreprise va le récompenser pour ce qu'il a découvert.

Lorsque vous branchez vos appareils périphériques, un pilote est installé quasi automatiquement dans Windows. Mais chez Razer, cela se fait avec pas mal de possibilités supplémentaires. Un chercheur en sécurité actif sur Twitter sous le pseudonyme Jonhat montre comment il est parvenu à jouir de privilèges système avec un simple compte.En branchant une souris ou un clavier de Razer, le logiciel Razer Synapse s'installe, vous permettant de choisir dans quel dossier vous voulez le placer. Dans ce dossier, vous pouvez via shift + un clic sur le bouton droit de la souris choisir d'ouvrir une fenêtre PowerShell où se trouvent vos privilèges système. De là, vous exercez alors un contrôle complet de la machine, même si vous le faites au départ d'un compte hôte ou d'un compte sans droits d'administrateur.Il ne s'agit pas d'un bug susceptible d'être exécuté à distance, ce qui rend le risque d'attaques relativement limité. Mais le fait est que quiconque ayant un accès physique à un appareil peut en prendre sans trop de difficultés le contrôle complet.Jonhat a tenté de prendre contact avec Razer à propos du bug, mais n'ayant pas reçu de réponse, il a jugé bon de procéder à la démonstration de la faille sur Twitter. A présent, il indique que Razer va rapidement corriger le bug et que l'entreprise va le récompenser pour ce qu'il a découvert.