Betanewsは8月23日(現地時間)、「Security: plug in a Razer mouse or keyboard and gain admin privileges in Windows 10」において、Razer製品向け統合設定ソフトウェア「Razer Synapse」にWindows 10のローカル特権昇格のゼロデイ脆弱性が報告されていると伝えた。ターゲットのWindows 10 PCに物理的にアクセスできる攻撃者は、この脆弱性を悪用して管理者権限を奪取できる可能性があるという。

Razer Synapseは、Razer社のPC周辺機器に対する環境設定やマクロ割り当てなどを行うことができる統合設定ソフトウェア。Razer製マウス、キーボード、またはドングルをPCに接続すると、Razerのソフトウェアインストーラーが自動的にダウンロードされてSYSTEM権限で実行される。報告によると、このインストールの実行中にWindowsのコンテキストメニューを用いてPowerShellプロンプトを開いて、SYSTEM権限で任意のコマンドを実行できるようになるという。

この脆弱性はTwitter上で @j0nh4t によって報告された。Betanewsによれば、その後Razerから彼の元に、修正作業中であるという連絡があったとのことだ。ただし、本稿執筆時点ではまだ対策版のリリースなどは行われていない。

  • Razer Synapseの脆弱性を報告したツイート

    Razer Synapseの脆弱性を報告したツイート

攻撃を実施するには対象のPCに対する物理的にアクセスできなければならないが、攻撃手法は容易なことから、Razer製品を利用しているユーザーは注意する必要があるだろう。