https://file.bybbs.org/u/d143593f333a40919f1e849cea188942/20210825/1629883733043-3.jpg?x-oss-process=style/internet

视频截图(via @zux0x3a)

利用 LPE 漏洞,攻击者可通过在 Windows 10 / 11 PC 上插入键鼠等外设时,等待系统自动下载安装实用工具软件时,轻松达成本地账号提权的目的。

尽管达成目的仍需物理接触到一台 Windows PC,但 雷蛇 RAZER )、赛睿(SteelSeries)这两家外设大厂遭遇的驱动程序软件 LPE 漏洞,还是对行业敲响了警钟。

https://file.bybbs.org/u/d143593f333a40919f1e849cea188942/20210825/1629883732362-1.jpg?x-oss-process=style/internet

问题在于 Windows 10 / 11 操作系统会在外设驱动安装阶段,默认使用 SYSTEM 级别的高权限账户。

而后被攻击者在继承管理员权限的情况下,利用相同的系统访问权限打开命令提示符(CMD)或 PowerShell 实例。

换言之,这使得攻击者能够对目标计算机执行包括安装恶意软件在内的几乎任何操作。

Just another priv_escalation with SteelSeries - zux0x3a( via

0xsp 的 Lawrence Amer 指出,Razer 和 SteelSeries 软件安装程序也存在同样的漏洞。

尽管驱动安装耗时不尽相同,但攻击者仍可通过一系列骚操作而得逞。

首先在浏览器中查看许可协议、尝试保存网页、然后从出现的对话框中右键启动 PowerShell 。

https://file.bybbs.org/u/d143593f333a40919f1e849cea188942/20210825/1629883732706-2.jpg?x-oss-process=style/internet

此外另一位网名叫 @an0n_r0 的安全研究人员发现,攻击者甚至可以伪造 SteelSeries 产品,而无需插入任何实际的外设,以达成同样的目的。

Proof of Concept video for SteelSeries LPE - an0n_r0( via

演示期间,其通过 Android 模拟脚本触发了这一驱动安装过程。不过虽然该脚本同样可将 手机 伪装成 Razer 外设,但 Bleeping Computer 表示该过程无需用户交互,因而并未触发 Razer 的漏洞。