SteelSeriesのバグは、Windows10でハッカーに管理者権限を付与する可能性があります

SteelSeriesデバイスの公式アプリで見つかった最近のバグにより、Windows10コンピューターを介してSteelSeries周辺機器を接続するすべての人に完全な管理制御を付与できるようになりました。これは、同様の特性を持つRazerSynapseバグが発見された直後に発生します。

しかし、この脆弱性はどのように管理者権限を付与するのでしょうか？そして、SteelSeriesはバグを修正するために何かをしていますか？

SteelSeriesバグはどのように機能しますか？

Razerのバグを最近発見したセキュリティ研究者のLawrenceAmerも、Windows 10のコマンドプロンプトを使用して管理者権限を付与したSteelSeriesキーボードで遊んでいるときに、SteelSeriesの脆弱性を発見しました。

Amerによると、このバグは、システム特権で開かれる使用許諾契約画面のリンクを使用して、デバイスの初期セットアッププロセス中に利用できます。

この脆弱性は1つのデバイスに限定されるものではなく、マウス、キーボード、ヘッドセットなどを含むすべてのSteelSeries周辺機器に適用される可能性があります。

実際、この脆弱性を悪用するために実際のデバイスは必要ありません。ハードウェアを接続しなくてもインストールプロセスを起動できるSteelSeriesデバイスをエミュレートするだけです。

関連：エミュレータはどのように機能しますか？エミュレーターとシミュレーターの違い

SteelSeriesはバグを修正しましたか？

では、どうすればこれから身を守ることができますか？同社は修正に関する声明を発表しました：

「私たちは特定された問題を認識しており、新しいSteelSeriesデバイスが接続されたときにトリガーされるSteelSeriesインストーラーの起動を事前に無効にしました。これにより、エクスプロイトの機会がすぐになくなり、恒久的に発行し、まもなくリリースされます。」

一言で言えば、SteelSeriesは当面の間このエクスプロイトを修正しました。ただし、Amerはあまり確信しておらず、脆弱な署名付き実行可能ファイルを一時フォルダーに保存して、SteelSeriesデバイスまたはそのエミュレーションを接続するときに再生できると主張しています。

デバイスを共有したり無人のままにしないでください

現在、SteelSeriesやRazerのようなバグが方程式に含まれているため、Windows 10デバイスに物理的にアクセスできる人は誰でも、完全な管理制御を取得できる可能性があります。デバイスを公開したり、ランダムな人と共有したりすると、フィッシング、マルウェアの注入、悪意のある攻撃など、他の悪質な脅威のリスクにさらされる可能性があります。

デバイスのセキュリティはソフトウェアのセキュリティと同じくらい重要なので、デバイスを無人にして見知らぬ人がアクセスできるようにしないでください。