Kini Perisian SteelSeries Pula Boleh Memberi Akses Administrator Pada Mana-Mana Komputer Yang Menggunakan Windows 10

Semalam kami ada melaporkan bahawa sesiapa yang mempunyai akses kepada sebuah komputer, dan sebuah aksesori Razer boleh menggunakan aksesori tersebut untuk mendapatkan akses Administrator pada sistem operasi Windows 10 kerana sebuah ciri yang menggunakan akses tersebut untuk memasang perisian Razer Synapse yang hadir bersama-sama dengan peranti tersebut.

Terkini, ia dilaporkan bahawa kerentanan sama boleh dieksploitasi oleh pengguna yang memiliki aksesori gaming SteelSeries juga, yang akan memasang perisian SteelSeries GG pada sebuah komputer. Eksploitasi ini merupakan cara yang sama diperkenalkan oleh jonhat dengan peranti Razer, dan kini menggunakan aksesori SteelSeries pula.

Pengguna boleh memasang peranti ini kepada sebuah komputer yang menggerakkan sistem operasi Windows 10, dan perisian SteelSeries GG secara automatiknya akan cuba dipasang. sewaktu pemasangan ini ada satu tingkap masa yang singkat dimana akaun pengguna akan diberikan akses Administrator untuk memindahkan fail dari peranti ke komputer, dan ini boleh dieksploitasi untuk mendapatkan akses kepada pelbagai fungsi-fungsi yang lain.

Secara ringkasnya, eksploitasi ini agak sukar untuk diperbaiki khususnya kerana apabila perisian ini dipindahkan kepada komputer, dan perisian pemasangan yang digunakan untuk memasang perisian ini sentiasa akan menggunakan akaun Administrator System yang mempunyai akses tertinggi dalam sebuah komputer.

Dengan kerentanan ini, mana-mana penggodam yang mempunyai akses fizikal kepada sebuah komputer ataupun mesin pelayan yang menggerakkan sistem operasi Windows boleh mencucuk sahaja perisian Razer atau SteelSeries ini pada komputer tersebut, dan menggunakan kerentanan sekuriti Administrator ini memasang segala jenis perisian hasad dengan cukup mudah sekali.

Fungsi pemasangan automatik ini merupakan fungsi yang dikodkan sendiri oleh pihak Microsoft, dan mereka perlu mencari jalan untuk memperbaiki isu ini. Sekurang-kurangnya, untuk mengambil kesempatan atas kerentanan ini, seseorang masih lagi perlu mendapatkan akses fizikal kepada sebuah komputer dan melog masuk kedalam akaun pengguna sebelum ia membuahkan apa-apa hasil.

Sumber: Bleeping Computer