News Peripherie von Razer & Asus: Treiberinstallation gewährt Admin-Rechte

[DeepBlue23]

Durch das vortäuschen einer Vendor-ID kann es im beruflichen Umfeld ggf. ausgenutzt werden, die Fallzahl dürfte am Ende aber im Promillebereich liegen.

Zumal man wichtige Rechnen im entsperrtem Zustand auch nicht unbeauchsichtigt lassen sollte.

 

[SVΞN]

Für die Leute, für die eine solche Sicherheitslücke von Bedeutung sein könnte, ist die Meldung ein guter Hinweis.

Dass jetzt auch wieder jeder Gamer auf den Hate Train aufspringt war zwar absehbar, ist aber nicht weniger peinlich.

Ich denke, wir sind uns alle bewusst darüber, dass es weitaus größere und relevanterer Sicherheitslücken gibt.

Selbstverständlich ist jetzt sowohl Razer und Synapse als auch Microsoft und Windows Update das personifizierte Böse!

Was auch sonst?

 

[SI Sun]

Trotzdem ist es die Schuld des Betriebssystems, dass bei automatischer Treiberinstallation ein Admin-Explorer und Powershell geöffnet werden können

Es ist eher die Schuld des Administrators und nicht des Betriebssystems.
Und der Administrator kann wenig dafür, wenn er seinen Job "unterbezahlt" und ohne Fortbildungen, am besten noch in Zweitfunktion machen soll. Dann ist es die Schuld der Vorgesetzten.

 

[pumuck|]

Es ist eher die Schuld des Administrators und nicht des Betriebssystems.

Weil die Auto-Installation nicht per Gruppenrichtlinie unterbunden ist? Dann wird es vmtl auch schwer (ohne zusätzliche Tools) ein Update via LAN auf alle Clients gewollt auszurollen

 

[mifritscher]

Da in der Regel niemand zuhause jemanden Fremden am PC sitzen hat, ist das Problem für Privatanwender ja nicht wirklich relevant.

Durch das vortäuschen einer Vendor-ID kann es im beruflichen Umfeld ggf. ausgenutzt werden, die Fallzahl dürfte am Ende aber im Promillebereich liegen.

So einfach ist das leider nicht. So mancher hat z.B. einen Arduino am Rechner angeschlossen, bei dem auf als normaler Benutzer die Vendor-ID offiziell umprogrammiert werden kann. Richtig fies wird es, wenn man das mit einem manipuliertem USB-Stick kombiniert und dann dem Opfer sagt "da sind wichtige Dokumente drauf" oder "damit kommst du dann drahtlos auf den Beamer" (ja, letzteres ist in Unternehmen mittlerweile häufig usus)

 

[SI Sun]

@pumuck|
Bei uns kann man auch nichts installieren. Es kann alles nur über den Administrator installiert werden.
Updates werden ebenso nur über den Administrator durchgeführt.

Ich kann mir aber gut vorstellen, dass bei kleinen bis mittelständigen Unternehmen die Nutzer mit Admin-Rechten arbeiten und richtige Administratoren gar nicht erst vorhanden sind.

 

[mifritscher]

Weil die Auto-Installation nicht per Gruppenrichtlinie unterbunden ist? Dann wird es vmtl auch schwer (ohne zusätzliche Tools) ein Update via LAN auf alle Clients gewollt auszurollen

Ich verstehe eh nicht, wieso User in AD Umgebungen standardmäßig erstmal alles dürfen und man dann erstmal gefühlt 1000 Optionen durchklicken muss, um es sicherzubekommen.

Nur damit dann selbst so grundlegendes wie Makros bei bestimmten Editionen dann doch zugelassen wird... Da kriegt man echt die Krise.

 

[schneup]

Da in der Regel niemand zuhause jemanden Fremden am PC sitzen hat, ist das Problem für Privatanwender ja nicht wirklich relevant.

Wer zuhause PCs fuer Kinder eingerichtet hat wird diese hoffentlich mit normalen User Accounts arbeiten lassen. Waere nur maessig begeistert wenn sie damit die Moeglichkeit kriegen sich Adminrechte zu verschaffen.

 

[Niko-P]

USB-Sticks mit entsprechender Vendor-ID und Skripten präparieren, auf Parkplatz von potentiellen "Opfern" fallen lassen und schauen was so zurück kommt.

Dieses vorgehen ist so ja nichts neues, nur hat man damit jetzt eine einfache Möglichkeit Admin-Rechte zu erlangen. Natürlich abhängig vom System an dem das ausgeführt wird.

 

[Marcel55]

Das ist für mich aber auch eher eine Lücke von Windows, als vom Treiberinstallstionsprogramm.

 

[pumuck|]

Bei uns kann man auch nichts installieren. Es kann alles nur über den Administrator installiert werden.
Updates werden ebenso nur über den Administrator durchgeführt.

"Bei uns" ist immer relativ. Das Beispiel auf das ich mich beziehe sind mehrere zehntausend Clients in unterschiedlichen Zeitzonen. Updates manuell zu installieren ist da keine Option (und ja es gibt natürlich jeweils lokale IT'ler aber die habe auch noch anderes zu tun^^)

 

[mojitomay]

Ich frage mich ja immer noch, wofür man bei solcher 0815 Standardhardware Treiber braucht?
Für das RGB Bling Bling?

Eigentlich sind die Dinger USB class compliant.

 

[cruse]

Ist schon sehr konstruiert.
Im privaten ist man eh immer Admin. Im beruflichen bzw. in Firmen gibt es Admins, die Hardware & Treiber installieren. Die sind dann auch meistens physisch vor Ort.
Auf heise stand es etwas besser formuliert

 

[john.smiles]

Aber wer hat bei Bürogeräten Zugriff auf Razerhardware, ist das so geläufig? Bei uns sind es maximal 10€ Billig-Mäuse von Logitech.

Ja, manchmal muss man den Kopf schütteln.
Typischer Büroarbeitsplatz bei uns:

1200€ elektrisch verstellbarer Stehtisch
500€ Ergo Design Stuhl
400€ Rollcontainer
100€ Schonunterlage für den Stuhl
x000€ rest. Büroschränke und Renovierung, Fussbodenheizung, Klima, elektrische Jalouisen...
PC:
Maus und Tastatur vom 500€ Pentium HP System - Kabel prall gespannt da zu kurz für den Tisch
10+ Jahre alter 5:4 19" Monitor mit 1280x1024 VGA = unbezahlbar da "4:3" Monitor ja so teuer geworden sind und neuere hochauflösende 16:9 Monitore die alte ERP Software schei**e aussehen lassen.
25€ HDMI zu VGA Adapterkabel
Werbe Textilmauspad von einem Kunden oder Zulieferer = 0€
Werbe Schreibtischunterlagen von 201x von einem Kunden oder Zulieferer = 0€

 

[zonediver]

Gespenstisch!

...gruselitsch WAAAHAHA

 

[ChrissKrass]

Im der Armory Create Software von Asus geht es leider auch

 

[DriveByFM]

Gut das ich keine „Gamer“ Software nutze, da lob ich mir meine Ducky Maus und Tastatur.

 

[Pandemonium3000]

Ja, manchmal muss man den Kopf schütteln.
Typischer Büroarbeitsplatz bei uns:

1200€ elektrisch verstellbarer Stehtisch
500€ Ergo Design Stuhl
400€ Rollcontainer
100€ Schonunterlage für den Stuhl
x000€ rest. Büroschränke und Renovierung, Fussbodenheizung, Klima, elektrische Jalouisen...
PC:
Maus und Tastatur vom 500€ Pentium HP System - Kabel prall gespannt da zu kurz für den Tisch
10+ Jahre alter 5:4 19" Monitor mit 1280x1024 VGA = unbezahlbar da "4:3" Monitor ja so teuer geworden sind und neuere hochauflösende 16:9 Monitore die alte ERP Software schei**e aussehen lassen.
25€ HDMI zu VGA Adapterkabel
Werbe Textilmauspad von einem Kunden oder Zulieferer = 0€
Werbe Schreibtischunterlagen von 201x von einem Kunden oder Zulieferer = 0€

Bist du bei mir am arbeiten?
Besser kann man es nicht auf den Punkt bringen

 

[Do Berek]

Da ich Autoupdates ausgestellt habe, kein Synapse nutze und keiner physischen Zugriff auf meinen Rechner hat, würde ich die Gefahr für mich persönlich als "minimalistisch" betiteln

 

[Trinoo]

wird halt wieviel % treffen für die das zum Problem wird?

richtig.... absolut unwichtig... also bitte keine Panikmache und Hexenjagd wie jedesmal wenn jemand Sicherheitslücke liest, im Grunde aber keine Ahnung hat^^