นักวิจัยความปลอดภัยที่ใช้ชื่อทวิตเตอร์ว่า jonhat เปิดเผยช่องโหว่ของตัวติดตั้ง Razer Synapse ที่จะติดตั้งผ่านระบบ plug-and-play ของวินโดวส์หลังเสียบเมาส์หรือคีย์บอร์ดเข้ากับ USB ในคอมพิวเตอร์ที่รัน Windows 10/11 ทำให้ผู้ใช้สามารถรันคำสั่งในสิทธิ์ SYSTEM ที่เป็นสิทธิ์สูงสุดได้ แม้จะเป็นเพียงผู้ใช้ธรรมดาในระบบ
ตัวติดตั้ง Razer Synapse มีชื่อไฟล์ว่า RazerInstall.exe นั้นได้รับสิทธิ์ระดับ SYSTEM อยู่แล้วเนื่องจากเป็นไดร์เวอร์ทางการของผู้ผลิต อย่างไรก็ดีระหว่างติดตั้งจะมี dialog ขึ้นมาถาม folder สำหรับติดตั้งโปรแกรม หากผู้ใช้กด SHIFT และคลิกขวา จะมีเมนูให้เลือกเปิด PowerShell ได้ แนะ PowerShell ก็จะได้สิทธิ์ SYSTEM ด้วยเช่นกัน
การโจมตีช่องโหว่นี้ผู้โจมตีต้องอยู่หน้าเครื่องโดยตรงเท่านั้น แต่ก็มีคอมพิวเตอร์ในองค์กรจำนวนมากที่จำกัดสิทธิ์ผู้ใช้ ในกรณีนี้หากผู้ใช้นำเมาส์ Razer ไปเสียบก็สามารถเจาะระบบได้
jonhat ระบุว่าตอนแรกไม่สามารถติดต่อ Razer ได้จึงออกมาทวีตเปิดเผย แต่ภายหลังทาง Razer ก็ติดต่อมาและกำลังรีบแก้ไขช่องโหว่นี้
ที่มา - Bleeping Computer