Windows 10：通过 LPE 漏洞通过 Razer 鼠标获得管理员

连接 Razer 鼠标就足以获得标准用户的管理权限。背景是使用系统权限执行驱动程序安装，然后用户可以打开管理提示。他已经拥有对系统的管理访问权限。Razer 没有回应漏洞发现者的请求。

任何可以直接访问 Windows 10 系统的人都可以在那里做各种肮脏的事情。然而，我很惊讶通过插入鼠标以标准用户的身份获得管理权限是多么容易。

将 Razer 鼠标(或加密狗)连接到 Windows 10 计算机的 USB 端口就足够了。然后通过 Windows 更新下载 RazerInstaller 并以 SYSTEM 身份运行。在上面推文中嵌入的视频中，您可以看到如何指导用户在标准用户帐户下完成驱动程序安装步骤。到目前为止一切顺利。在安装过程中，可以从下载文件夹中选择 Razer 驱动程序

但是，在驱动程序选择对话框中，也可以调用用于打开 PowerShell 控制台的上下文菜单。在这里已经可以想象为驱动程序指定桌面或另一个用户控制的文件夹作为目标文件夹。然后通过交换驱动程序文件或可能的 DLL 劫持进行劫持是可能的。

但还有更多。由于驱动程序安装以 SYSTEM 权限运行，因此对话框也获得这些权限。SYSTEM 权限也会传递到 PowerShell 控制台窗口。默认用户现在具有管理权限。Will Dormann 指出，这种情况适用于所有要求通过 USB 设备安装的驱动程序。

顺便说一下，每次 USB 设备连接到新的 USB 端口时都会触发此安装。整个事情还有另一个方面。使用适当的设备，可以模拟 Razer 鼠标的硬件 ID。

硬件 ID：usb\vid_1532&pid_0078&mi_02

更新 ID：f3073b05-17af-4abf-98a1-d93b4c5af0cd

@jonhat 试图就此问题联系 Razer，但未成功。只是因为现在出现了 Twitter 讨论，Razer 社交媒体团队的某个人联系了我们并希望处理它。