Un fallo de seguridad en el ‘software’ del fabricante de accesorios enfocados en los videojuegos Razer permite obtener los privilegios de administración de Windows 10 con solamente conectar un ratón de la compañía el ordenador, y la compañía ya trabaja para solucionarlo.
El problema en cuestión se debe a una vulnerabilidad día cero -es decir, no conocida por la compañía hasta el momento- en el software Razer Sinapse de la marca, como ha informado el investigador de ciberseguridad jonhat en Twitter y recoge el portal Bleeping Computer.
Cuando un usuario conecta un periférico de la marca como un ratón, este comienza a instalar en el ordenador con Windows 10 automáticamente la app de Sinapse para que puedan configurar el dispositivo externo.
No obstante, este sistema incluye un fallo de seguridad que permite a los usuarios hacerse con los permisos de administración de Windows 10, con lo que es posible hacerse con el control del ordenador por completo, incluyendo la instalación de ‘malware’.
La vulnerabilidad permite escalar privilegios solamente a nivel local, pero lo que solamente puede afectar a los usuarios que tengan acceso físico al ordenador y al periférico de Razer para proceder a enchufarlo.
Este tipo de errores puede encontrarse de forma frecuente en los dispositivos externos que funcionan nada más conectarse a un equipo, no solo los de Razer, como ha reconocido el analista de vulnerabilidad del CERT Will Dormann a través de Twitter.
DECLARACIÓN DE RAZER
Razer ha reconocido en un comunicado que ya ha tenido conocimiento de la vulnerabilidad, que afirma que «en un caso de uso muy específico, proporciona al usuario un acceso más amplio a su ordenador durante el proceso de instalación».
«Hemos investigado el problema y actualmente estamos realizando cambios en la aplicación de instalación para limitar este caso de uso, así como publicaremos una versión actualizada en breve», ha asegurado el fabricante.
Asimismo, la compañía ha recordado que el uso de su software, incluido el programa Razer Sinapse de instalación, «no proporciona acceso de terceros no autorizados al ordenador».
