Un fallo de seguridad en el 'software' del fabricante de accesorios enfocados en los videojuegos Razer permite obtener los privilegios de administración de Windows 10 solamente al conectar un ratón de la misma marca. La compañía ya trabaja para solucionar el problema.
Nos encontramos ante una vulnerabilidad de día ceroen el software Razer Sinapse de la marca, como ha informado el investigador de ciberseguridad jonhat en Twitter y recoge el portal Bleeping Computer.
Cuando un usuario conecta un periférico de la marca como un ratón, este comienza a instalar en el ordenador con Windows 10 automáticamente la app de Sinapse para que puedan configurar el dispositivo externo, informa Europa Press.
No obstante, este sistema incluye un fallo de seguridad que permite a los usuarios hacerse con los permisos de administración de Windows 10, con lo que es posible hacerse con el control del ordenador por completo, incluyendo la instalación de 'malware'.
La vulnerabilidad permite escalar privilegios solamente a nivel local. Este tipo de errores puede encontrarse de forma frecuente en los dispositivos externos que funcionan nada más conectarse a un equipo, no solo los de Razer, como ha reconocido el analista de vulnerabilidad del CERT Will Dormann a través de Twitter.
La postura de Razer
Razer ha reconocido en un comunicado remitido a Europa Press que ya ha tenido conocimiento de la vulnerabilidad. Y defiende que estamos ante "un caso de uso muy específico, proporciona al usuario un acceso más amplio a su ordenador durante el proceso de instalación".
"Hemos investigado el problema y actualmente estamos realizando cambios en la aplicación de instalación para limitar este caso de uso, y además publicaremos una versión actualizada en breve", ha asegurado el fabricante.
Asimismo, la compañía ha recordado que el uso de su software, incluido el programa Razer Sinapse de instalación, "no proporciona acceso de terceros no autorizados al ordenador".
Ocurre también con Steelseries y otras marcas
Jonhat ha retuiteado el post de Lawrence, creador de Moongose, en el que el experto hace notar que la misma vulnerabilidad se da en otras marcas, como Steelseries.