SteelSeries: une faille donne des droits d’administrateur sur Windows 10

0

L’application officielle permettant d’installer des appareils SteelSeries sur Windows 10 peut être exploitée pour obtenir des droits d’administrateur, a découvert un chercheur en sécurité.

L’exploitation du bogue est possible pendant le processus de configuration de l’appareil, en utilisant un lien dans l’écran Contrat de licence qui s’ouvre avec les privilèges SYSTEM. Un appareil SteelSeries n’est pas nécessaire pour exploiter le bug.

L’émulation d’un appareil fonctionne également

La découverte intervient après l’annonce récente que le logiciel Razer Synapse peut être utilisé pour obtenir des privilèges élevés lors de la connexion d’une souris ou d’un clavier Razer.

Encouragé par les recherches de jonhat, le chercheur en sécurité Lawrence Amer (chef d’équipe de recherche chez 0xsp) a découvert que la même chose peut être obtenue avec le logiciel d’installation de périphériques SteelSeries.

En bidouillant avec un clavier SteelSeries récemment acquis, le chercheur a découvert une vulnérabilité d’élévation de privilèges qui lui a permis d’exécuter l’invite de commande dans Windows 10 avec des privilèges d’administrateur.

Le logiciel SteelSeries n’est cependant pas réservé aux claviers (Apex 7/Pro). Il installe et permet également de configurer les souris (Rival 650/600/710) et les casques (Arctis 9, Pro) du fabricant ; il permet même aux utilisateurs de contrôler l’éclairage RVB sur le tapis de souris de jeu QCK Prism.

Amer a commencé par brancher son clavier et surveiller le processus d’installation, qui a commencé par le téléchargement du logiciel SteelSeries (SteelSeriesGG6.2.0Setup.exe) dans le dossier temporaire de Windows.

Un véritable appareil SteelSeries n’est pas nécessaire pour que cette attaque fonctionne. Le chercheur en tests d’intrusion István Tóth a publié un script open source qui peut imiter les dispositifs d’interface humaine (HID) sur un téléphone Android, en particulier pour tester les scénarios d’élévation des privilèges locaux (LPE).

steelseries

Bien qu’il s’agisse d’une version expérimentale, le script peut émuler avec succès les appareils Razer et SteelSeries.

Après qu’Amer ait publié ses recherches, Tóth a publié une vidéo démontrant que le LPE découvert par Amer peut être réalisé à l’aide de son outil USB Gadget Generator.

Trouver le bon contexte

En essayant de trouver un point faible, Amer a cherché un moyen de charger une DLL ou un EXE manquant à partir de dossiers accessibles aux utilisateurs non privilégiés, mais n’en a trouvé aucun.

Cependant, il a remarqué que l’application de configuration de l’appareil a été lancée avec les droits SYSTEM immédiatement après son téléchargement. Un autre processus exécuté avec les privilèges les plus élevés a fourni une nouvelle opportunité d’attaque.

SteelSeries
source: Lawrence Amer

Amer a essayé la même méthode qui a fonctionné pour la vulnérabilité zero-day de Razer, mais cela n’a pas fonctionné car l’installation se poursuit sans interaction de l’utilisateur.

Le chercheur a eu un coup de chance lorsque le contrat de licence est apparu avec un lien vers la politique de confidentialité de SteelSeries. En cliquant sur le lien, la boîte de dialogue pour choisir une application de lancement est apparue.

Amer a testé le scénario dans une machine virtuelle qui n’avait pas d’associations de fichiers définies. Le seul processus disponible pour ouvrir le lien était Internet Explorer.

À partir de là, il suffisait d’utiliser IE pour enregistrer la page Web et lancer une invite de commande avec privilèges élevés à partir du menu contextuel de la boîte de dialogue « Enregistrer sous ».

SteelSeries
source: Lawrence Amer

Amer a déclaré qu’il avait essayé d’informer SteelSeries de la vulnérabilité, mais qu’il n’avait pas pu trouver de programme public de primes aux bogues ou de contact pour la sécurité du produit.

En réponse aux demandes de commentaires à ce sujet, un représentant de SteelSeries a déclaré que la société était au courant du problème et a supprimé le risque d’exploitation en empêchant le lancement du logiciel d’installation lors du branchement d’un appareil SteelSeries:

« Nous sommes conscients du problème identifié et avons désactivé de manière proactive le lancement du programme d’installation SteelSeries qui est déclenché lorsqu’un nouvel appareil SteelSeries est branché. Cela supprime immédiatement l’opportunité d’un exploit et nous travaillons sur une mise à jour logicielle qui résoudra le problème de façon permanente et sortira bientôt » – porte-parole de SteelSeries

Le chercheur affirme que la vulnérabilité pourrait toujours être exploitée même après l’avoir corrigée. Un attaquant pourrait enregistrer l’exécutable signé vulnérable déposé dans le dossier temporaire lors du branchement d’un appareil SteelSeries et le servir dans une attaque d’empoisonnement DNS.

Laisser un commentaire