Aansluiten van Steelseries-muis kan lokale gebruiker systeemrechten geven
Het aansluiten van een muis, toetsenbord of headset van fabrikant SteelSeries op een Windows 10-computer maakt het mogelijk voor een lokale gebruiker om systeemrechten te krijgen, zo ontdekte onderzoeker Lawrence Amer. De kwetsbaarheid lijkt erg veel op het beveiligingslek dat recentelijk met de software-installatie van hardwarefabrikant Razer werd ontdekt.
Wanneer een Steelseries-apparaat op een computer wordt aangesloten zal Windows automatisch de SteelSeries GG-software downloaden, waarmee het betreffende apparaat is te configureren. Tijdens de installatie van de software is het mogelijk om op een link te klikken met meer informatie over de licentieovereenkomst. Deze link wordt wordt met systeemrechten geopend. Vervolgens is het mogelijk om de betreffende informatiepagina op te slaan. Vanuit het dialoogvenster kan de lokale gebruiker een command-venster starten waarbij hij systeemrechten heeft.
De aanval is ook zonder SteelSeries-apparaat uit te voeren. Onderzoeker István Tóth gebruikte zijn USBgadget-generator waardoor hij zijn Androidtelefoon als SteelSeries-toetsenbord kon laten voordoen.
In een reactie tegenover Tom's Guide laat SteelSeries weten dat het besloten heeft om de automatische start van het installatieprogramma bij het aansluiten van een nieuw apparaat proactief uit te schakelen. In de tussentijd wordt er aan een update gewerkt die "snel" zou moeten verschijnen. Een exacte datum is nog niet bekend.
Vroeger had je daar een teken film van.
Van een muis die de wereld ging veroveren, Pinky and the Brain.
Wel bijzonder dat we muisbakkers hierop aangekeken worden. Dit is toch echt een zoveelste fuck up van Microsoft
Lijkt veel maar is te doen.
Wel bijzonder dat we muisbakkers hierop aangekeken worden. Dit is toch echt een zoveelste fuck up van Microsoft
Wel bijzonder dat we muisbakkers hierop aangekeken worden. Dit is toch echt een zoveelste fuck up van Microsoft
Wel bijzonder dat we muisbakkers hierop aangekeken worden. Dit is toch echt een zoveelste fuck up van Microsoft
Wel bijzonder dat we muisbakkers hierop aangekeken worden. Dit is toch echt een zoveelste fuck up van Microsoft
Altijd fijn, MS bashen, maar dit is gewoon een bug in de Steelseries installer.
Vervelend, maar gebeurt ook elders, zoals op Mac: https://www.bleepingcomputer.com/news/security/huawei-usb-lte-dongles-are-vulnerable-to-privilege-escalation-attacks/.
En daarbij valt deze issue relatief mee: ja, elevation of privilege, maar alleen met fysieke toegang en alleen met een aangelogde gebruiker.
En Linux is ook maar gewoon software: https://www.bleepingcomputer.com/news/security/linux-has-a-usb-driver-security-problem/
Ja, artikel uit 2017, maar kijk vooral even verder rond... https://www.cvedetails.com/vulnerability-list/vendor_id-33/product_id-47/cvssscoremin-10/Linux-Linux-Kernel.html
Wel bijzonder dat we muisbakkers hierop aangekeken worden. Dit is toch echt een zoveelste fuck up van Microsoft
Altijd fijn, MS bashen, maar dit is gewoon een bug in de Steelseries installer.
Vervelend, maar gebeurt ook elders, zoals op Mac: https://www.bleepingcomputer.com/news/security/huawei-usb-lte-dongles-are-vulnerable-to-privilege-escalation-attacks/.
En daarbij valt deze issue relatief mee: ja, elevation of privilege, maar alleen met fysieke toegang en alleen met een aangelogde gebruiker.
En Linux is ook maar gewoon software: https://www.bleepingcomputer.com/news/security/linux-has-a-usb-driver-security-problem/
Ja, artikel uit 2017, maar kijk vooral even verder rond... https://www.cvedetails.com/vulnerability-list/vendor_id-33/product_id-47/cvssscoremin-10/Linux-Linux-Kernel.html
het mooie van een Linux omgeving is dat alle vuile was buiten wordt opgehangen. Dan is jou lijstje van 48 sinds 1997 heel netjes. Zon lijstje produceert Microsoft elke maand en dat is nog maar de top van een ijsberg omdat de rest binnenskamers wordt gehouden of aan de NSA wordt verpand.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.