News Peripherie von Razer & Asus: Treiberinstallation gewährt Admin-Rechte

[Affenzahn]

Und genau, weil das möglich ist, sehe ich hier bei diesem konkreten Razer-/Asus-Produkten halt die Gefahr, dass MA hier kurzzeitig Adminrechte erhalten könnten ohne es zu wissen und dann anfällig für weitere gefährliche Sachen sein könnten.

Synapse ist aber kein reiner Treiber, sondern Software, die auch einen Treiber beinhaltet.
Genau so, wie nVidias Geforce Experience ein Zusatz zum eigentlichen Grafiktreiber ist, der auch ohne experience funktioniert.

Wahrscheinliches Szenario: Du stöpselst die Maus an, der Standard USB-Gerätetreiber erkennt die Maus als Maus und du kannst arbeiten.
Synapse für die "Premium" Features, muss als extra Software installiert werden und genau DAS ist eigentlich als MA nicht möglich. Dafür braucht man bereits extra Rechte, die man nicht hat (bzw. haben sollte).
Beim Starten des installers (msiexec) sollte eigentlich eine UAC Abfrage kommen, die der Anwender ohne Admin credentials nicht weg bekommt.

 

[Weyoun]

Beim Starten des installers (msiexec) sollte eigentlich eine UAC Abfrage kommen, die der Anwender ohne Admin credentials nicht weg bekommt.

OK, das sollte dann bei normalen Accounts in der Tat unterbunden werden (bzw. ich müsste dann erst auf den LocAdmin wechseln).

 

[cbtestarossa]

Die ganze UAC ist sowie Quatsch und nur nervig.
Am besten man hat eienen eingeschränkten Benutzer und ein Adminkonto getrennt.
Da kann sich sowieso nichts von selbst installieren außer MS hat sich wieder mal mit Ruhm bekleckert und erlaubt das im Hintergrund.
Sollte aber sowieso nicht möglich sein außer bei bereits mitgelieferten MS-Treibern.
Software die Adminrechte verlangt so auszuhebeln ist totaler Nonsens.
Kann man aber einem unbedarften User wahrscheinlich nicht zumuten.
Aber der klickt sowieso genervt auf alles nur dass irgend ein Teil endlich läuft.

Und wenn man die UAC deaktiviert dann ist auch nix mehr mit "als Admin ausführen"
Aber wenn dann noch irgendetwas sich sogar SYSTEM Rechte aneignen kann wird
wohl MS etwas unternehmen müssen.

 

[Sebbi]

Die ganze UAC ist sowie Quatsch und nur nervig.

und diese Aussage ist genauso Quatsch. Ja die UAC Abfrage IST nervig und soll auch so sein, aber die ist sehr nützlich!

Denn stell dir vor: Ein User ist um Homeoffice und braucht Hilfe. Nun schaltet sich der Admin auf und müsste erst auf den Adminkonto anmelden. Geile Sache wenn der Admin vorher nie angemeldet war mit den entsprechenden Konto. Bis die Einrichtung durch ist dauert das erstmal via VPN eine ganze Ewigkeit.
Außerdem gibt es dann auch noch VPN Clients, die die VPN Verbindung trennen, wenn der User in den Lockscreen geht oder abgemeldet wird. Ganz toll, Verbindung für den Admin gekappt.

Via UAC kann der Admin einen Vorgang die entsprechenden Rechte verpassen, ohne das Konto zu welchseln und oder ein Benutzerkonto groß anlegen zu lassen auf dem Rechner. Das ganze ist um Welten schneller als der Weg der dir da vorschwebt.



Außerdem hast du glaube ich nicht verstanden was genau das Problem ist, denn eine UAC Abfrage kommt ja gar nicht. Denn die Software wird still, wie du schon erkannt hast, durch den Updatedienst von MS mit Systemrechten installiert wird, da auch die Windows Updates mit Systemrechten installiert werden müssen. Und ja der Updatedienst muss mit Systemrechten ausgestattet sein, damit auch normale User ohne Adminhilfe die Windows Updates starten und installieren können, ansonsten würde ja immer eine UAC Abfrage kommen.
Der Fail seitens MS somit, das die eben die Software von Razer etc überhaupt über WindowsUpdate verteilen aus meiner Sicht. Das hat da einfach nichts zu suchen genau wie irgendewelche anderen Treiber etc.

 

[LukS]

@Sebbi
Grundsätzlich stimme ich dir was die UAC betrifft zu. Nur beim letzten Part nicht.

Der Fail seitens MS somit, das die eben die Software von Razer etc überhaupt über WindowsUpdate verteilen aus meiner Sicht. Das hat da einfach nichts zu suchen genau wie irgendewelche anderen Treiber etc.

Nur der Fail ist hier, dass das Bedienprogramm/UI über Windows Update mitausgeliefert wird und dann aus der Installation heraus mit Admin/System-Rechten gestartet wird.
Ich finde es gut, wenn Treiber über Windows Update ausgeliefert werden, aber das geht dann zu weit.
Von mir aus können sie das UI über den MS-Store liefern. Beim Nvida GPU Treiber passiert das ja auch.

 

[Zer0DEV]

Jetzt ist auch SteelSeries von der gleichen Thematik betroffen... Dann folgen in den nächsten Tagen bestimmt noch mehr Geräte-Hersteller mit deren Treiber-/Softwarepaketen.

 

[cruse]

1. Funktioniert eigentlich noch das umbenennen/kopieren von cmd in utilman.exe?
2. Und was würden mir die Systemrechte in Netzwerk bringen?

 

[Sebbi]

Ich finde es gut, wenn Treiber über Windows Update ausgeliefert werden, aber das geht dann zu weit.

nein, denn wie oft wurde schon hier im Forum drüber geätzt, das Windows den neusten Treiber von einer Graka etc überschreibt für einen den Microsoft für besser geeignet hält.
Darum sowas komplett raus aus dem Windowsupdate oder zumindest als Opt IN und das sichtbar, nicht so versteckt Opt Out wie jetzt.

 

[LukS]

Darum sowas komplett raus aus dem Windowsupdate oder zumindest als Opt IN und das sichtbar, nicht so versteckt Opt Out wie jetzt.

Mir wäre es lieber als Opt Out, wegen den druchschnittlichen Usern die sich nicht auskennen.
Einmal sollte es unter Einstellungen Updates eine offensichtliche globale Einstellungen geben. Sowas wie: "Treiber können über Windows Update installiert werden".
Des weiteren sollte man das im Gerätemanager einfach bei jedem Gerät in den Eigenschaften bestimmen können. Einen Punkt mit Hacken hinzufügen: "Treiber über Windows Updates installieren/aktualisieren"

Der Durchschnittsuser wird mit Treibern versorgt. Die sich besser auskennen können es schnell global ausschalten oder im Fehlerfall für einzelne Geräte bestimmen.
So würde mir das eher gefallen.

 

[cbtestarossa]

@Sebbi

Und du hast anscheinend nicht ganz verstanden auf was sich meine Aussage bezog.
Nämlich genau dem Post über mir.

Und dann mit dem Argument Home Office zu kommen ist auch uninteressant.
Denn Firmen PCs werden hoffentlich schon vorkonfiguriert daherkommen.

Und da braucht Sekretärin Lisa auch kein Recht irgendetwas wegzuklicken
und somit auch schon mal keine UAC.

Und dass irgendein Dienst im Hintergrund SYSTEM Rechte hat heißt noch lange nicht dass das auch immer gut so ist.

Und in diesem Fall sieht man ja wieder einmal dass wahrscheinlich alle OS Schwachstellen wie Sau beinhalten die nur ausgenutzt werden wollen.

Somit wäre es vielleicht sowieso besser ein dummes VPN Terminal aufzustellen.
USB hat seine Vorteile, aber PS/2 und parallel war wahrscheinlich sicherer.

 

[AbstaubBaer]

Artikel-Update: Asus hat das Problem ebenfalls untersucht. Das Unternehmen schließt in seiner ComputerBase übersandten Stellungnahme aus, dass die Armoury-Crate-Software ihren Anwendern Administrationsrechte während der Installation gewährt. Darüber hinaus wird eine Mailadresse genannt, an die Sicherheitslücken gemeldet werden können.

We are aware of a few online articles claiming a potential security issue concerning ASUS Armoury Crate.

We would like to clarify that ASUS Armoury Crate does not grant normal users System Admin permissions during the installation process.

We take digital security and safety very seriously, and encourage users who encounter such issues to report it to the ASUS Customer Service team at security@asus.com

 

[rene76]

Ich mache 2x im jahr eine Komplette neuinstallation meines System und das ohne Netzwerk Anschluss um die Automatisierungen gleich abzuschalten. So kann ich beruhigt nur die Treiber installieren die ich auch benötige und erst wenn ich alles fertig habe gehe ich wieder online mit dem PC. So verringer ich das Risiko das mir Windows Software aufspielt von dem ich nichts mitbekomme. So mache ich das schon seit knapp 30 Jahren. Früher musste man sowieso alles von Hand einstellen und installieren.

 

[MeyLee]

Gehen Sie weiter, es gibt hier nix zu sehen!

 

[besseresmorgen]

Ich mache 2x im jahr eine Komplette neuinstallation meines System

Warum?
Die Zeiten in denen man regelmäßig das System neu aufsetzen musste sind doch schon lange vorbei?
Ich hab das System hier im Dezember 2019 aufgesetzt und das läuft seit dem ohne irgendwelche Probleme auch nach Updates und Co.

 

[flappes]

400 MB Tastaturtreiber, Online-Konto-Zwang um Farben einzustellen und nun noch Admin-Rechte.

Es wird immer verrückter. Der Fachkräftemangel ist real!

 

[rene76]

Warum?
Die Zeiten in denen man regelmäßig das System neu aufsetzen musste sind doch schon lange vorbei?
Ich hab das System hier im Dezember 2019 aufgesetzt und das läuft seit dem ohne irgendwelche Probleme auch nach Updates und Co.

Mag sein, ich gehöre aber noch zur alten Schule und habe bisher keine Probleme, mein System ist immer frisch und läuft. zu dem dauert das Betriebssystem zu installieren gerade mal 3 Minuten, Treiber und Software dann bin ich in ca. 30 Minutn durch. Die Zeit habe und ich weiß das sich wenig datenmüll auf mein PC befindet. Soll jeder so machen wie er sich sicher fühlt.

 

[Blubmann1337]

1. Funktioniert eigentlich noch das umbenennen/kopieren von cmd in utilman.exe?

Ja das tut noch, wenn man schnell genug ist, da es sonst vom Defender bemerkt wird. Aber ist schaffbar.

 

[cruse]

wenn man schnell genug ist

?
per linux boot stick sollte er doch 0 bemerken?

 

[DekWizArt]

Gegen jede Diskussion hier, es soll und darf nicht angehen das einem dadurch Adminrechte gewährt werden (Punkt).

 

[Ranayna]

per linux boot stick sollte er doch 0 bemerken?

Du bootest ja das "angegriffene" System nachdem du den utilman Trick benutzt hast.
Und da macht der Defender (der sich ja nicht mehr komplett deaktivieren laesst) das rueckgaengig.

Lokale Adminrechte macht zumindest einige Angriffe auf das Netztwerk einfacher. Es ist ein erster Schritt.
Damit kann man zum Beispiel an die NTLM Hashes von Domain Accounts kommen.

Einmal am Helpdesk anrufen, dass man fuer irgendwas Hilfe braucht. Die schalten sich auf und starten zB die Computerverwaltung. Schon hast du den Hash eines Accounts der mehr Rechte als dein lokaler hat. Damit kann man dann versuchen sich auf diversen Servern anzumelden.
Oft gibts zentrale "Admin-Server", auf denen der Helpdesk Account sich anmelden kann, wo aber vielleicht auch hoeher priviligierte Accounts verwendet werden.
So kann man sich hoch hangeln, bis man sein Ziel erreicht hat.