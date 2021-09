Vorige week hebben onderzoekers aangetoond hoe het mogelijk is om door het aansluiten van een muis of keyboard systeemrechten op een Windowscomputer te krijgen, maar een aanpassing van het Windowsregister voorkomt deze aanvalsvector. Dat laat Will Dormann weten, analist bij het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit.

Hardwarefabrikanten die hun drivers bij Microsoft indienen om via Windows te verspreiden kunnen ook apparaatspecifieke co-installers opgeven, die automatisch na de installatie van de driver worden uitgevoerd. Wanneer een Razer-muis op een systeem wordt aangesloten zal Windows Update na de driver-installatie automatisch de Razer Synapse-software voor de muis downloaden, waarmee gebruikers het apparaat kunnen instellen. Het installatieprogramma wordt uitgevoerd door een Windowsproces met systeemrechten, waardoor ook het installatieprogramma systeemrechten heeft.

Tijdens de installatie wordt gebruikers gevraagd in welke map ze de software willen installeren. Vanuit het dialoogvenster is het mogelijk om een PowerShell-venster te starten dat ook met systeemrechten wordt uitgevoerd. De gebruiker kan vervolgens vanuit het PowerShell-venster allerlei commando's met systeemrechten uitvoeren. Bij het aansluiten van muizen en keyboards van fabrikant SteelSeries deed zich een soortgelijk probleem voor. Deze fabrikant besloot om de automatische start van het installatieprogramma bij het aansluiten van een nieuw apparaat proactief uit te schakelen

Dormann laat via Twitter weten dat een aanpassing aan het Windowsregister dit gedrag voorkomt en ervoor zorgt dat dergelijke installatieprogramma's niet meer automatisch worden gedownload. Via de optie "DisableCoInstallers" wordt het uitvoeren van co-installers bij het aansluiten van usb-apparaten geblokkeerd.