Prácticamente todas las firmas dedicadas al hardware para videojuegos, como los periféricos gaming, tienen su propio software. ASUS, Corsair, Logitech, y también Razer, tienen los suyos en España. Sin embargo, Razer ha sido salpicada por un problema con su programa, Razer Synapse; se ha descubierto que un error de la app da privilegios de administrador en Windows.
Según adelanta BleepingComputer, el programa Razer Synapse pensado para usar periféricos y accesorios de Razer tiene una vulnerabilidad que, de ser explotada, otorga al usuario permisos de administrador en Windows. Un problema que además es grave, ya que lo único que necesita el atacante es acceso físico a nuestro PC con un ratón de Razer.
El fallo, reportado por el usuario @j0nh4t, ha sido descubierto por la propia Razer y ya han asegurado que modificarán el software de sus periféricos para paliar el problema. Algo necesario, ya que dicho software es usado por millones de personas en todo el mundo.
Un fallo en Razer Synapse
Según BleepingComputer, el proceso de conseguir permisos de administración (con los conocimientos adecuados) es extremadamente sencillo; lleva tan solo dos minutos, y da control total al usuario. El problema aparece debido a la propia naturaleza de la aplicación.
Al conectar un ratón de Razer, se lleva a cabo una instalación automática de Razer Synapse mediante un archivo de instalación, un .exe llamado RazerInstaller. Windows Update se encarga de ejecutar este instalador con un proceso que tiene privilegios de sistema.
El instalador permite al usuario elegir en qué directorio quiere instalar los controladores, y es en este momento donde un usuario puede abrir una ventana de comandos en esa misma ventana, ya sea un PowerShell o un CMD. Este se abre con privilegios de administrador, y así el atacante puede acceder prácticamente a todo el sistema.
La clave de que este fallo sea tan peligroso es que aunque se necesita hardware adicional para disparar el problema, simplemente se necesita conectarlo al ordenador y seguir los pasos que el usuario de Twitter muestra en un vídeo.
De nuevo, un usuario que quiera conseguir dichos accesos tan solo tiene que instalar un ratón mediante USB, y seguir los pasos. Esto abre la puerta a todo tipo de ataques, desde robo de datos hasta cambios profundos en el sistema. Analistas como Will Dormann explican que esta clase de fallos pueden encontrarse con cierta frecuencia en software instalado en procesos plug-and-play de algunos periféricos o accesorios.
Razer ya es consciente del problema y lanzarán en los próximos días un parche que solucione el problema, prometiendo modificar Synapse. Estas son las declaraciones íntegras de la compañía:
"Hemos tenido conocimiento de una situación en la que nuestro software, en un caso de uso muy específico, proporciona al usuario un acceso más amplio a su ordenador durante el proceso de instalación.
Hemos investigado el problema y actualmente estamos realizando cambios en la aplicación de instalación para limitar este caso de uso, así como publicaremos una versión actualizada en breve. El uso de nuestro software (incluida la aplicación de instalación) no proporciona acceso de terceros no autorizados al ordenador.
Estamos comprometidos a garantizar la seguridad digital y la protección de todos nuestros sistemas y servicios, y si encuentra algún error potencial, lo alentamos a informarlo a través de nuestro servicio de recompensas de errores, Inspectiv".
Aunque es necesario que el atacante tenga acceso de forma física a nuestro ordenador, ten cuidado en estas próximas semanas y evita que otros usuarios conecten ratones de Razer en tu ordenador hasta que se lance el parche.
También te puede interesar...
- Probamos el Razer Book: un portátil potente para trabajar sin límite en cualquier parte
- El nuevo Razer Blade 17 es aún más potente: lo mejor de Intel y 360 Hz de refresco
- Razer Opus, análisis: unos auriculares para hacer frente a los Sony más buscados