发现了一种技巧,可以防止您的设备在设备插入计算机时被易受攻击的 Windows 应用程序接管。
上个月,研究人员详细介绍了在 Windows 中简单地插入设备如何也可以安装供应商的应用程序,该应用程序允许普通用户快速获得 SYSTEM 权限,这是 Windows 中的最高用户权限级别。
例如,当用户 插入 Razer USB 鼠标时,Windows 会自动安装其驱动程序和 Razer Synapse 软件。
由于 Windows 使用具有 SYSTEM 权限的进程启动软件安装,因此 Razer Synapse 软件也以 SYSTEM 权限运行。
在 Razer Synapse 安装期间,您可以指定不同的文件夹来安装程序,这将打开“选择文件夹”对话框。
但是,当此对话框打开时,可以打开 PowerShell 控制台,该控制台也可以使用 Razer Synapse 安装程序的 SYSTEM 权限打开。
对于那些不熟悉 SYSTEM 权限的人来说,它们是 Windows 中可用的最高用户权限,允许您在操作系统中执行任何命令。
利用这些漏洞,在 Windows 设备上几乎没有权限的用户只需插入一个 20 美元的 USB 鼠标即可轻松完全控制它。
这个漏洞是在被称为“共同安装程序”的应用程序中发现的,自从发现第一个漏洞以来,其他研究人员 发现了更多 可能允许本地权限提升的设备,包括 SteelSeries 设备。
阻止 Windows 驱动程序共同安装程序应用程序
当硬件开发人员将驱动程序提交给 Microsoft 以通过 Windows 分发时,他们可以配置特定于设备的 共同安装程序 ,这些程序将在 Windows 即插即用安装驱动程序后执行。
这些共同安装程序可用于配置特定于设备的注册表项、下载和安装其他应用程序,或执行其他必要功能以使设备正常工作。
通过共同安装程序功能,Razer、Synapse 和其他硬件制造商可以在其 USB 设备插入计算机时安装其配置实用程序。
正如 CERT/CC 的漏洞分析师Will Dormann首次发现的 那样 ,可以配置一个 Windows 注册表值来阻止在即插即用功能期间安装共同安装程序。
为此,请打开注册表编辑器并导航到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Device Installer 注册表项。在该键下,添加一个名为DisableCoInstallers的 DWORD-32 值 并将其设置为 1,如下所示。
Windows 注册表编辑器 5.00 版
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Device Installer]
“DisableCoInstallers”=dword:00000001
启用后,当您将关联的 USB 设备插入计算机时,Windows 将阻止安装共同安装程序。
请务必注意,进行此更改将阻止自动安装设备的配置软件。相反,您需要从供应商的站点手动下载并安装它。
但是,通过在 Windows 即插即用过程中阻止可能被利用的应用程序的安装而带来的不便值得增加的安全性。