Falha do Windows permite que invasores tenham controle total do computador

Uma falha grave no Windows foi descoberta esta semana. Simplesmente conectando um acessório USB, como um mouse ou pen drive, invasores podem ganhar controle total do computador da vítima.

Embora seja necessário ter acesso físico ao computador para realizar o ataque, a vulnerabilidade é preocupante. Isso porque, mesmo que a vítima não tenha privilégios de administrador na máquina, o invasor consegue realizar comandos a nível de sistema.

O ataque funciona da seguinte forma: alguns acessórios USB, quando ligados ao computador, dizem ao Windows que faça o download de um programa específico da fabricante do equipamento. Isto é comum, por exemplo, em mouses e teclados voltados ao público gamer, que permitem configurar iluminação e opções avançadas através destes programas.

O problema acontece porque este download é feito automaticamente pelo Windows com o nível mais alto de permissões do sistema, mesmo que o usuário não tenha este tipo de acesso. Como o instalador do programa é executado de forma automática, ele também abrirá com os chamados "privilégios de administrador", que dão controle total da máquina.

Caso o instalador permita, por exemplo, escolher um local de destino para o programa, é possível abrir uma janela do Explorador de Arquivos e executar o terminal de comandos, chamado no Windows de Prompt ou PowerShell, também com permissões totais. A partir daí, o invasor pode executar diversas ações, como desativar componentes de segurança do sistema e fazer download de vírus.

A falha foi detectada inicialmente em acessórios da marca Razer, especializada em itens para jogos. A vulnerabilidade foi descoberta pelo usuário @J0nh4t e divulgada no Twitter. Outro usuário da mesma rede social, @zux0x3a, notou que dispositivos da SteelSeries, também voltados para gamers, têm um problema similar - embora mais difícil de ser executado. É provável que produtos de outras empresas tenham problemas similares, embora até o momento tenham sido explorados em equipamentos apenas as duas marcas.

Need local admin and have physical access?
- Plug a Razer mouse (or the dongle)
- Windows Update will download and execute RazerInstaller as SYSTEM
- Abuse elevated Explorer to open Powershell with Shift+Right click

Tried contacting @Razer, but no answers. So here's a freebie pic.twitter.com/xDkl87RCmz

— jonhat (@j0nh4t) August 21, 2021

it is not only about @Razer.. it is possible for all.. just another priv_escalation with @SteelSeries https://t.co/S2sIa1Lvjv pic.twitter.com/E3NPQnxqo2

— Lawrence  (@zux0x3a) August 23, 2021

Uma solução aparentemente simples seria não usar acessórios destas empresas, especialmente se oferecidos por pessoas desconhecidas. No entanto, o Windows usa um sistema chamado "identificador de hardware" para detectar que tipo de dispositivo é conectado ao computador. Este identificador pode ser falsificado com facilidade por alguém com conhecimentos técnicos, então qualquer acessório USB poderia ser "disfarçado" como um equipamento das marcas que geram a vulnerabilidade, ativando a falha. Outro usuário do Twitter, @an0n_r0, demonstrou a vulnerabilidade sendo disparada ao conectar no computador um smartphone com o identificador modificado.

Here is my PoC for exploiting the @Razer device driver installation LPE using a generic Android phone instead of a stock Razer device.

gist for the gadget setup: https://t.co/zMkCK0ziSh

Original version using a Razer device was presented by @j0nh4t. Awesome finding, I like it. pic.twitter.com/2GPrDuny1o

— an0n (@an0n_r0) August 22, 2021

Ainda não há informações da Microsoft sobre uma correção para a falha. A Razer informou que irá lançar atualizações para seus produtos, para que não causem mais o problema, enquanto a SteelSeries não se pronunciou até o momento.

Mais sobre Microsoft