Koppla in en Razer-mus – bli olovlig administratör

Under helgen twittrade säkerhetsforskaren @j0nh4t om en allvarlig sårbarhet i installationsprogrammet för Razers gaming-möss. Han hade upptäckt hur han kunde få administratörsrättigheter på valfri Windows-dator genom att bara koppla in musen i en USB-port. Då startade nämligen Razers installationsprogram automatiskt och därifrån kunde han nå Powershell. Det enda han behövde göra var att öppna dialogrutan för val av installationsplats och klicka på Öppna Powershell-fönstret här.

Powershell är ett avancerat verktyg för att styra Windows-datorer via terminalen i stället för via det grafiska gränssnittet. En administratör med tillgång till Powershell kan göra precis vad han eller hon vill, däribland krascha datorn, läsa andra användares filer eller rent av öppna datorn för permanent fjärråtkomst.

Vi testade attacken på vår påhittade vän Alices dator. Vi hade inte tillgång till någon Razer-mus, men vi kunde testa med ett par USB-anslutna Razer-högtalare som använde samma mjukvara (Razer Synapse). Resultatet blev detsamma. Trots att vi var inloggade som en vanlig användare utan administratörsrättigheter kunde vi öppna Powershell och göra precis vad vi ville med stackars Alices dator.

Sårbarheten i Razers mjukvara sätter säkerheten ur spel på datorer som en angripare får åtkomst till i olåst tillstånd. En angripare behöver bara bära med sig en till synes helt ofarlig mus och koppla in den i datorn som han eller hon vill få kontroll över. Den programmerbara och tangentbordsemulerande USB-kabeln OMG Cable kan också användas (läs mer om OMG Cable i vår artikel om preparerade Lightning-kablar).

Skydda personliga datorer

Det enklaste sättet att skydda dig och din dator är att aldrig lämna datorn i olåst tillstånd. Se också till att datorn låser sig automatiskt efter ett visst antal inaktiva minuter utifall du skulle glömma att låsa den. Ha gärna en låg tidsgräns.

Tips! Du kan låsa din Windows-dator genom att hålla ned Windows-tangenten och trycka på L-tangenten (”lås”).

Skydda publika datorer

Problemet är desto större på datorer som är publika, till exempel datorer som finns på bibliotek och internetkaféer. I hopp om att någon skulle ha en lösning bad vi Säkerhetsbubblan att komma med förslag på hur attacken skulle kunna stoppas på sådana datorer.

Vår första tanke var att inaktivera automatisk nedladdning av appar vid enhetsinstallation. Det hjälpte tyvärr inte. Installationsprogrammet kördes ändå så fort vi anslöt USB-högtalarna. Sebastian Nielsen föreslog sedan att installationen skulle förhindras via en gruppolicy, vilket verkar fungera. Vi har än så länge inte lyckats få installationsprogrammet att köra på Alices dator med Sebastians föreslagna lösning på plats. Vi möts bara av en notis om att installationen är förbjuden på grund av en systemprincip.

Windows-notis med texten "Installationen av den här enheten är förbjuden på grund av en systemprincip".
En gruppolicy verkar kunna förhindra attacken.

Lösningen som, än så länge, verkar stoppa attackmöjligheten är därför att aktivera inställningen Förhindra installation av enheter som inte beskrivs av andra principinställningar. Den ligger under Datorkonfiguration, Administrativa mallar, System, Enhetsinstallation, Begränsningar vid enhetsinstallation. Inställningen aktiveras enklast av avdelningen som centralt administrerar organisationens datorer. Den kan också aktiveras lokalt genom att söka efter gpedit.msc på Startmenyn och ändras manuellt i redigeringsprogrammet.

Inställningen "Förhindra installation av enheter som inte beskrivs av andra principinställningar" visas i Windows gruppolicyredigerare.
Aktivera inställningen ”Förhindra installation av enheter som inte beskrivs av andra principinställningar”.

Gå gärna med i Säkerhetsbubblan för att följa diskussionen. Vi uppdaterar även denna artikel ifall vi gör några nya upptäckter eller hittar fler lösningar. Lösningen med gruppolicy är exempelvis inte tillämpningsbar på gemensamma familjedatorer som kör hemversionen av Windows 10. Om flera hemanvändare delar på en gemensam dator kan de komma åt varandras filer via sårbarheten i Razers installationsprogram.

Uppdatering! Will Dormann har hittat en lösning som även fungerar för hemversionen av Windows 10.

Ett återkommande problem

Det är tyvärr inte första gången som vi ser ett problem likt detta. Det är en klassisk säkerhetsbrist där ett program råkar ge användare större rättigheter än utvecklarna hade tänkt sig. Ett vanligt exempel på detta problem är ”kioskdatorer” som kör ett utvalt program i helskärmsläge. Tanken är att användarna aldrig ska kunna komma åt något annat än just det programmet, men alltför ofta har utvecklarna missat någon viktig detalj. Användaren kan kanske trycka på F1 för att få upp hjälpavsnittet. Det inkopplade tangentbordet har kanske en dedikerad knapp för kalkylatorn. Om användaren får upp hjälpavsnittet eller kalkylatorn kan han eller hon också komma åt en webbläsare och därifrån allt som en webbläsare kan visa.  

Tips! Titta på Dieter Sarrazyns föreläsning ”Operation Jail Breakout” från CS3STHLM 2019. Där berättar han om sina favoritsätt för att kringgå denna typ av begränsningar.  

Misstaget som Razers utvecklare gjorde är av samma slag men får betydligt allvarligare konsekvenser. De ville ge användaren möjlighet att välja installationsplats men missade faktumet att användaren också kan öppna Powershell från dialogrutan som visas. Eftersom installationsprogrammet körs med administratörsrättigheter gör även Powershell-terminalen det.

Enligt @j0nh4t har Razer meddelat honom att de ska åtgärda säkerhetsbristen så snart som möjligt. Tyvärr finns det redan indikationer på att andra tillverkares produkter har installationsprogram med samma sårbarhet. Vi rekommenderar därför att vidta ovannämnda åtgärder oavsett vad. Att låsa sin dator är ändå alltid en god idé.

Denna artikel är publicerad under CC BY 4.0-licens med undantag för bilder där en annan fotograf är angiven.