News Peripherie von Razer & Asus: Treiberinstallation gewährt Admin-Rechte

[schneup]

Laptop von Lenovo wird so Amazon für 1250 € inkl. MwSt angeboten
der gleiche Laptop wird der Frima vom Systemhaus für 1800 € ohne MwSt angeboten als Bundle mit kabelgebundener Maus, Tastatur und Bildschirmfilter. für 1950 € als Bundle sogar mit entsprechenden Dock dazu.

Mit den genau gleichen Serviceleistungen oder besseren Konditionen? Normalerweise benoetigen Firmen deutlich schnellere Antwortzeiten als Privatnutzer (und kleine Firmen haben nicht immer einen Servicevertrag). Wenn ich 2 Tage auf ein Ersatzgeraet warten muss kostet es bereits deutlich mehr als die Anschaffungskosten der HW. Ausserdem wollen Firmen ueber laengere Zeit identische HW einkaufen koennen. Wer mehrere tausend User unterstuetzen muss moechte nicht ebensoviele HW Varianten bei der Administration beruecksichtigen. Deshalb kann es gut sein dass sie bereit sind mehr zu bezahlen wenn das Systemhaus dafuer garantiert das Modell ueber einen laengeren Zeitraum liefern kann. Allerdings hat so ein Vorgehen nicht immer Vorteile. Es soll Firmen geben die nur wenige Konfigurationen vorhalten und wo der angebotene SW Entwicklungsrechner ein besseres Office Modell mit CAD GPU aber kleiner SSD ist. Muss man sich leisten koennen MA laenger als unbedingt noetig beim arbeiten warten zu lassen.

 

[Sebbi]

Mit den genau gleichen Serviceleistungen oder besseren Konditionen? Normalerweise benoetigen Firmen deutlich schnellere Antwortzeiten als Privatnutzer

Gewährleistung von 2 auf 3 Jahre verlängert
Reaktionsszeit ist innerhalb einer Woche, wenn Ersatzteil vorhanden, ansonsten kann es schon mal nen Monat dauern.
Vor Ort Service auf die Hälfte Reduziert in der Gewährleistungszeit.

das sind die Konditionen des ServiceVertrages was die Firma ausgehaldelt hat ...

 

[LukS]

Aber wer hat bei Bürogeräten Zugriff auf Razerhardware, ist das so geläufig? Bei uns sind es maximal 10€ Billig-Mäuse von Logitech.

Ich verwende im Büro meine privat gekaufte Maus und Tastatur. Wenn ich am Tag 8 bis 10 Stunden vor dem Bildschirm sitze und arbeite, dann will ich das ganze nicht mit einer 10€ Tastatur und 10€ Maus von Dell machen. Das Dell Zeug ist so unergonomisch, da bekommt man schon vom Hinschauen Krämpfe in den Fingern.
Vom Arbeitgeber hab ich da nichts bekommen. Da heißt es nur, für was braucht man sowas...

 

[AbstaubBaer]

Artikel-Update: In einer Stellungnahme, die ComputerBase per Mail bekommen hat, kündigt Razer an, an einer Lösung zu arbeiten. Das Unternehmen spricht von einem „sehr spezifischen Anwendungsfall“, der in Kürze „begrenzt“ werden solle. Der Einsatz von Razer-Software inklusive der Installationsroutinen gewähre unauthorisierten Dritten „keinen Zugriff auf den Rechner“, so Razer. Diese Zusicherung erscheint insofern korrekt, als dass ein normales Nutzerkonto mit entsprechendem Login nötig ist, um den Fehler nutzen zu können.

We were made aware of a situation in which our software, in a very specific use case, provides a user with broader access to their machine during the installation process.

We have investigated the issue, are currently making changes to the installation application to limit this use case, and will release an updated version shortly. The use of our software (including the installation application) does not provide unauthorized third-party access to the machine.

We are committed to ensuring the digital safety and security of all our systems and services, and should you come across any potential lapses, we encourage you to report them through our bug bounty service, Inspectiv: https://app.inspectiv.com/#/sign-up.

 

[BorstiNumberOne]

Aber wer hat bei Bürogeräten Zugriff auf Razerhardware, ist das so geläufig? Bei uns sind es maximal 10€ Billig-Mäuse von Logitech.

Im Homeoffice habe ich zB meine Razer Death Adder Chroma dran und dazu ein Keychron K4 Keyboard.

 

[brabe]

Ich verwende im Büro meine privat gekaufte Maus und Tastatur. Wenn ich am Tag 8 bis 10 Stunden vor dem Bildschirm sitze und arbeite, dann will ich das ganze nicht mit einer 10€ Tastatur und 10€ Maus von Dell machen. Das Dell Zeug ist so unergonomisch, da bekommt man schon vom Hinschauen Krämpfe in den Fingern.
Vom Arbeitgeber hab ich da nichts bekommen. Da heißt es nur, für was braucht man sowas...

Kenne ich. Mein Chef sagte, dass iPad reicht doch als Vorbereitung für Präsentationen aus.
Ein Kollege fragte dann mal nach, wie er denn die Vorbereitung so mache. Er möge es doch mal bitte zeigen (der Chef). Daraufhin holte er ein Macbook hervor und zeigte es uns ;(

 

[Weyoun]

Aber wer hat bei Bürogeräten Zugriff auf Razerhardware, ist das so geläufig? Bei uns sind es maximal 10€ Billig-Mäuse von Logitech.

In Zeiten von Homeoffice schließt man aus genau dem Grund der Ergonomie auch gerne mal private Hardware an den Dienst-PC an (mache ich genauso mit Tastatur und Maus).

Die Frage ist, welche konkreten Rechte man dann bekommt. Ich habe zum Beispiel einen "Local-Admin-Account", um auch ohne IT-Abteilung Soft-und Hardware zu installieren. Bekommt der Angreifer nun noch mehr Rechte, oder sind die mit den Rechten eines Loc-Admin-Accounts identisch?

Ergänzung (23. August 2021)

Ich vermisse in solchen Artikeln immer den Hinweis wie groß denn die Gefahr für den einzelnen Heimanwender/Gamer ist, wenn kein fremder physisch Zugriff auf die Hardware hat.

Sagen wir mal so, für Unternehmen ist die Gefahr nicht zu unterschätzen, wenn plötzlich jeder Mitarbeiter im Homeoffice Admin-Rechte genießt und dann unsachgemäß im Internet Schadsoftware angeboten bekommt...

 

[ottoman]

@Weyoun
Das sieht man im Video, als "whoami" in der Kommandozeile eingetippt wird. Ergebnis: "NT Authority\SYSTEM"
Hier kann man nachschauen, was das bedeutet:

LocalSystem account is a built-in Windows Account. It is the most powerful account on a Windows local instance (More powerful than any admin account)

 

[Weyoun]

Da in der Regel niemand zuhause jemanden Fremden am PC sitzen hat, ist das Problem für Privatanwender ja nicht wirklich relevant.

Für Privatanwender nicht, für Angestellte schon eher. Die IT-Abteilungen werden jetzt sicherlich Kopfschmerzen bekommen.

 

[ottoman]

Das ganze sehe ich schon als nicht unkritisch an. Wurde zwar bestimmt schon im Thread erwähnt, aber Beispiele die mir einfallen:

• Nutzer mit beschränkten Rechten am Familien PC (wie z.B. Kinder) können sich zum Admin machen
• Mitarbeiter mit (üblicherweise) beschränkten Rechten auf der eigenen Firmen-Hardware können sich zum Admin machen

Das ist jetzt natürlich keine "ich übernehme deinen PC ohne dein Zutun aus der Ferne und installier einen Crypto-Locker" Geschichte. Aber je nach Anwendungsgebiet/Umfeld ist das schon kritisch.

 

[Weyoun]

@Weyoun
Das sieht man im Video, als "whoami" in der Kommandozeile eingetippt wird. Ergebnis: "NT Authority\SYSTEM"
Hier kann man nachschauen, was das bedeutet: LocalSystem account is a built-in Windows Account. It is the most powerful account on a Windows local instance (More powerful than any admin account)

Was meinst du mit dem Video? Den LocAdmin-Account oder der Account, den man bei Razer/Asus freigeschaltet bekommt? In ersterem Fall verfüge ich also über eine Waffe? Wobei man nicht vergessen darf, dass es in Summe zwei Accounts sind, die ich habe: Ein "normaler" Account, mit dem ich mich überall im Firmennetzwerk einloggen kann und dann den LocAdmin-Account, mit dem ich zwar auf dem Firmen-Laptop Soft- und Hardware installieren kann, aber damit nicht gleichzeitig als Mitarbeiter im System eingeloggt bin. Somit scheint es also schon "etwas" sicher zu sein, da ich ja immer zwischen beiden Accounts hin- und herwechseln muss.

 

[SamSoNight]

Jeder, der schonmal versucht hat, Asus-Software von seinem Rechner zu entfernen, sollte wissen wissen was für Programmier"genies" dort am Werke sind.

 

[ottoman]

@Weyoun
Schau dir das Twitter-Video aus der News ab 1:05 an, wo eine Kommandozeile geöffnet wird. Die läuft als LocalSystem Account, der wie schon geschrieben noch mehr Rechte hat als jeder reguläre Admin Account.

 

[Schmarall]

Wird wohl langsam so, dass wir keine Kontrolle mehr über die eigenen Geräte haben. Gespenstisch!

Die Firmen freut das.

Homeoffice?

Und dann? Zuhause schließt ja kein Fremder irgendwelche manipulierte Hardware an.

Sagen wir mal so, für Unternehmen ist die Gefahr nicht zu unterschätzen, wenn plötzlich jeder Mitarbeiter im Homeoffice Admin-Rechte genießt und dann unsachgemäß im Internet Schadsoftware angeboten bekommt...

Naja, entweder es ist der eigene PC vom Mitarbeiter daheim, da ist natürlich er selbst Besitzer und auch Admin. Und wenn es der Laptop/PC von der Firma ist, dann kann sich ein Mitarbeiter wohl auch nicht so einfach selbst Hardware installieren - wenn die IT-Abteilung was kann.

Für Privatanwender nicht, für Angestellte schon eher. Die IT-Abteilungen werden jetzt sicherlich Kopfschmerzen bekommen.

Glaube ich weniger. Vorausgesetzt, die hat ihre Hausaufgaben gemacht. Denn auf dem Fremdrechner kann man nicht einfach Soft- oder Hardware installieren wenn der entsprechend konfiguriert wurde.

 

[branhalor]

Ein Grund mehr, automatische Treiberinstallationen mit Hilfe diverser wikis im Netz abzuwürgen. Spätestens über Gruppenrichtlinien etc. kann man da einiges verhindern. Klar ist aber auch, daß der gemeine User das erstens nicht weiß und zweitens mitunter Schiß hat, so tief im System etwas zu manipulieren.

Unabhängig davon überrascht mich das aber bei Razer im Spezielle jetzt nicht - deren Software ist schon vor Jahren mit nem Spionage-Trojaner ausgestattet gewesen, dem man bei der Treiberinstallation explizit zustimmen mußte, weil die Treiber sonst nicht funktioniert haben. Hatte einmal ne Maus von denen ausprobiert - seitdem: Nie wieder Razer!
Asus, okay, kann ich weniger zu sagen, da hatte ich nie Probleme mit. Bleibt zu hoffen, daß die das treiberseitig vielleicht auch fixen können.

Aber generell: Auto-Treiberupdates aus! Vor allem, so lange alles läuft.

 

[Affenzahn]

Ich verstehe eh nicht, wieso User in AD Umgebungen standardmäßig erstmal alles dürfen und man dann erstmal gefühlt 1000 Optionen durchklicken muss, um es sicherzubekommen.

Weil es so herum praktikabler ist als andersherum.

Es läuft out of the Box alles was soll vs. Es läuft out of the Box gar nix und du brauchst erst nen Fachmann der dir das einrichtet.
Ja, für Fall 1 braucht man auch einen, der einem dann die Lücken stopft, aber das ist optional.

Üblicher Weise kann man als 08/15 Anwender in der Firma keine Hardware installieren, die über Standard USB Gerätetreiber hinausgehen, oftmals nicht mal das. Razor Synapse geht darüber hinaus.
Spätestens bei der UAC Abfrage für die Installation wird im Firmenumfeld Schluss sein.
Man kommt also gar nicht erst an die kritische Stelle da man den Installer nicht starten kann.

Für Heimanwender.. Mh. Wer eh schon in der Wohnung ist und einen laufenden, entsperrten PC vorfindet...
In der Uni das selbe in Grün: Wer sein Gerät in der Uni unbeaufsichtigt lässt...

Nichtsdestotrotz hat hier ein Programmierer ordentlich gepennt und dass Razor erst nach der Veröffentlichung reagiert ist auch nicht gerade Vertrauenserweckend.

 

[JahJah192]

hab ne Razer Basilisk V2, zum einrichten und Updaten hab ich die Razer Software kurz runtergeladen, danach aber direkt wieder von der Platte. Braucht man (bei neueren oder "besseren" Mäusen) nicht wirklich, weil die Maus einen Speicher hat und sich Profile direkt darauf speichern lassen. Man muss sich halt nur merken wie viel DPI man auf 1,2,3,... Stufe eingestellt hat.

 

[amorosa]

"Hatetrain"...
Was soll der Mist ?
Sicherheitslücken gibt es quasi überall. Man muss sie halt nur finden.

Ich glaube nicht, das viele Systeme zu 100% sicher sind. Ich weiß näml. nicht ob das überhaupt möglich ist, weil ich die ganzen Angriffsmöglichkeiten gar nicht kenne. Und diese Leute schlafen ja auch nicht. Ganz im Gegenteil. Es ist für sehr viele ein "Sport". Was auch okay ist. Naja, einerseits. Ihr wisst schon, je nach Usecase usw.

Dafür muss ich keine Firma angreifen.
Und ich könnte nun auch sehr viele Beispiele von fetten Sicherheitslücken nennen.


Locker bleiben.
Lücke aufgedeckt ?
Perfekt ! Denn nun wird sie geschlossen.

Keine Lücke dokumentiert ? Heißt eben NICHT das keine da ist ! Ganz im Gegenteil. Vielleicht ist sie ja da (hochwahrscheinlich) und evtl. nutzt die ja schon jemand ?

Mal so rum denken, würde vielen ganz gut tun.

Ich wünsche euch ne schöne Woche

 

[Weyoun]

Naja, entweder es ist der eigene PC vom Mitarbeiter daheim, da ist natürlich er selbst Besitzer und auch Admin. Und wenn es der Laptop/PC von der Firma ist, dann kann sich ein Mitarbeiter wohl auch nicht so einfach selbst Hardware installieren - wenn die IT-Abteilung was kann.

Nein, es ist der Dienst-PC (Laptop), den wir seit knapp 18 Monaten regelmäßig mit ins Homeoffice nehmen. An der Administrierung hat sich nichts geändert (der PC geht über ein VPN ins Firmennetzwerk). Einige rudimentäre Hardware (Maus, Tastatur, Headset etc.) wird natürlich ohne Zugriff der IT-Abteilung (es gibt bei uns am Standort mehr als 1.000 MA im Homeoffice, da kann die IT-Abteilung nicht einfach bei jedem MA selber Hand anlegen via. Remote Control) installiert. Und genau, weil das möglich ist, sehe ich hier bei diesem konkreten Razer-/Asus-Produkten halt die Gefahr, dass MA hier kurzzeitig Adminrechte erhalten könnten ohne es zu wissen und dann anfällig für weitere gefährliche Sachen sein könnten.

 

[Schmarall]

Nein, es ist der Dienst-PC (Laptop), den wir seit knapp 18 Monaten regelmäßig mit ins Homeoffice nehmen. An der Administrierung hat sich nichts geändert (der PC geht über ein VPN ins Firmennetzwerk). Einige rudimentäre Hardware (Maus, Tastatur, Headset etc.) wird natürlich ohne Zugriff der IT-Abteilung (es gibt bei uns am Standort mehr als 1.000 MA im Homeoffice, da kann die IT-Abteilung nicht einfach bei jedem MA selber Hand anlegen via. Remote Control) installiert. Und genau, weil das möglich ist, sehe ich hier bei diesem konkreten Razer-/Asus-Produkten halt die Gefahr, dass MA hier kurzzeitig Adminrechte erhalten könnten ohne es zu wissen und dann anfällig für weitere gefährliche Sachen sein könnten.

Ja gut, dann hat es sich die IT-Abteilung eben einfach gemacht und nun ist die Gefahr da.
Ja, auch bei mehr als 1000 MA muss man seine Hardware absichern. Wenn das zu aufwendig wird, dann muss man sich da etwas cleveres überlegen, z.B. einheitliche Hardware wo man das gleiche Image draufspielen kann und vorkonfiguriert ist oder sonst was. Aber das klingt wieder nach lahmer Ausrede, warum Sicherheit nicht möglich sein könnte.