Razer(레이저)에서 만든 마우스 같은 하드웨어를 연결하는 것만으로 윈도우10의 최상위 시스템(SYSTEM) 권한을 얻는 보안 취약점이 발견되었다고 합니다.

1. 레이저 마우스나 동글을 컴퓨터에 연결하면

2. 윈도우 업데이트에서 자동으로 Razer Synapse(레이저 시냅스)라는 관리 소프트웨어를 설치하는데

3. 여기서 시스템 권한을 얻는 것이 가능하다고 합니다.

구체적으로는 어떤 폴더에 시냅스를 설치할지 물어보는 창이 하나 나타나는데

Shift + 마우스 오른쪽 클릭으로 PowerShell을 열면 시스템 권한을 받은 상태로 열린다는 것입니다.

취약점을 찾은 제보자가 레이저에 먼저 알렸으나 답변이 없어서 트위터에 이 내용을 올렸는데, 트위터에서 화제가 된 이후 레이저에서 연락이 와서 문제가 된 부분을 수정하고 있으며, 회사 버그 바운티(bug bounty) 제도에 따라 보상도 하겠다고 알려줬다고 합니다.

- Razer bug lets you become a Windows 10 admin by plugging in a mouse

| Bleeping Computer 요약

- 영상 : 트위터 @j0nh4t