web-dev-qa-db-ja.com

Logicool Optionsソフトウェアはどのようにしてマウスドングルから自動的に起動しますか?

最近、Logitech MX Master 2Sマウスを購入しました。マウスに付属の「オプションソフトウェア」をインストールするつもりはなかった。私は安くて薄っぺらでないワイヤレスマウスを単に望んだ。

ただし、ワイヤレスUSBドングルをすぐに接続した後、カスタムソフトウェアのいくつかの方法が私の同意なしに実行され、他のすべてのウィンドウの上に次のウィンドウが表示されました。

Logitech Options software

ファイルエクスプローラーにUSBボリュームが表示されておらず、私の知る限り、USBからの自動実行が無効になっています。また、タスクマネージャにリストされている明らかなプロセスを見つけることができませんでした。

このプロセスはどのようにして始まったのですか?さらに、これはWindowsマシンにとって理想的な攻撃経路のようです。 USBドングル(ボリュームなし)がどのようにこれを行うことができるかについて、誰かが洞察を提供できますか?

更新:wmic logicaldisk get nameおよびdiskpart> list volumeを実行すると、追加のドライブまたはパーティションが表示されなかったため、ドングル内に組み込みの論理ディスクはないようです。

windows-10
4
Lemonseed

このプロセスはどのように始まったのですか?さらに、これはWindowsマシンにとって理想的な攻撃経路のようです。 USBドングル(ボリュームなし)がこれをどのように行うことができるかについて誰かが洞察を提供できますか?

USBはすでによく知られている攻撃ベクトルであり、時々議論されます(BadUSBなど)。 BadUSBに関するすべての警告は、ホストデバイスに関して本当に求められていますか?

USBスティックは想定されていませんが、HIDキーボードであると主張し、あなたのようにコマンドを発行する場合もあります。キーボード/マウスドングルの場合、これは疑わしいようには見えません。それはすでにキーボードです。思うstart+r -> "\\?\volume{something-logitech-hardcoded}\autorun.exe"

私が見たもう1つのそれほど悪質でないトリックは、自動実行で仮想CDドライブを公開することです。 Windows 10でも、デフォルトで何らかの形式の自動再生が実行されます。

残念ながら、私はそのようなデバイスにアクセスできないので、関係するエクスプロイトについて特定の洞察を提供することはできません。 1つの実験は、それをコンピューターに接続して、上記の洞察に導かれて画面に一時的に現れる奇妙なものを観察することです。それ以外の場合、接続モードでデバイスエクスプローラーを使用すると、非表示の機能が明らかになる場合があります(特に非表示ではありませんが、攻撃後にデバイスがそれらを削除する可能性があります)。秘密の内部ストレージの内容を判別すると役立つ場合があります。たとえば、自動実行ファイルはありますか?

3
trognanders

Nic Hartleyがドライバーに言及しました。 Windows 10は、接続されるとすぐに不明なデバイスのドライバーを自動的にインストールします。Windowsにデバイスのドライバーがない場合、ドライバーはオンラインでサイレントにダウンロードします。 Windowsにドライバーがある場合でも、オンラインで更新バージョンを確認します。
だから、私の理論は次のとおりです:WindowsがLogitechから必要なドライバーをダウンロードしてインストールします。 Logicoolドライバは、ソフトウェアをインストールするためのポップアップを表示します。

この理論をテストするには、ドングルを、インターネットに接続されておらず、LogicoolドライバーがインストールされていないWindows 10 PCに接続します。

それでもポップアップが表示される場合は、デバイスマネージャでLogicoolドライバを無効にしてみてください。

また、Sysinternals Process Explorerなどのツールを使用して、ウィンドウを作成したプロセスを見つけてください。 詳細情報

8
Kartik Soneji

マウスを接続すると、LogitechドライバーがWindows 10によってインストールされます。このドライバーでは、LogicoolオプションソフトウェアをLogitechから直接ダウンロードします。 HPプリンターがローカルに接続されている場合も同様です。

これは主に、特にローリングリリースモデルと組み合わせて、Windows Updateの古いドライバーの問題を防ぐために行われます。

Windows 10が1つのメジャーバージョンから別のメジャーバージョンにアップグレードされると、完全な新規インストールが行われ、すべてのデバイスがダウンロードされ、更新後に再度インストールされます。

4
Stefan Lorenz