A tady je dobrá společnost, která právě během pár sekund ztratila hodně mého respektu... Víte, jak se říká... "důvěra se získává po kapkách, ale ztrácí se v litrech..."
Výzkumník odstranil zranitelnost Zero-Day, která ovlivňuje herního klienta Steam pro Windows, poté, co Valve řekl, že ji neopraví. Valve poté vydalo patch, který lze podle stejného výzkumníka obejít.
Podle nezávislého výzkumníka Vasilije Kravetse (aka Felixe) je chybou chyba zabezpečení eskalace privilegií, která může útočníkovi umožnit upgradovat a spustit jakýkoli program s nejvyššími možnými právy na jakémkoli počítači se systémem Windows s nainstalovaným Steamem.
Protože Steam tvrdí, že má vícemiliarda registrovaných uživatelů po celém světě (a 90 milionů aktivních uživatelů, kteří se zaregistrovali ke hraní her jako Assassin's Creed, Grand Theft Auto V a Warhammer), je útok potenciálně masivní. Přesto vlastník Steamu Valve zjistil, že chyba „není použitelná“ poté, co ji Kravets zaslal prostřednictvím platformy HackerOne bug-bounty.
Podrobnosti o chybě
Tato chyba zabezpečení existuje ve službě Steam Client Service, která běží na počítačích se systémem Windows se systémovými oprávněními. Výzkumník zjistil, že je možné použít symbolické odkazy (tj. symbolické odkazy, které fungují jako zkratky mezi jedním souborem nebo adresářem a jiným), aby počítač spustil službu nebo spustitelný soubor se všemi jeho oprávněními.
Nejprve Kravets zjistil, že službu Steam může spustit a zastavit kdokoli pomocí počítače (tj. kdo má „uživatelská“ oprávnění) – a když k tomu dojde, uživatel obdrží seznam podklíčů pod hlavním klíčem „HKLM\Software\ Wow6432Node\Valve\Steam\Apps" z registru.
„Zde jsem zjistil, že HKLM\SOFTWARE\Wow6432Node\Valve\Steam má explicitní ‚plnou kontrolu‘ pro skupinu ‚uživatelů‘ a tato oprávnění dědí pro všechny podklíče a jejich podklíče,“ vysvětluje Kravets In nedávný článek. Poté chtěl zjistit, zda je možné převzít kontrolu nad podklíčem pod HKLM\Software\Wow6432Node\Valve\Steam\Apps, který nabízí omezená oprávnění, pomocí symbolického odkazu ukázat na zabezpečený klíč registru s plnými oprávněními a poté restartovat služba pro přístup k zabezpečenému klíči registru.
"Vytvořil jsem odkaz z HKLM\SOFTWARE\Wow6432Node\Valve\Steam\Apps\Apps\test na HKLM\SOFTWARE\test2 a restartoval jsem službu," řekl - a zjistil, že to skutečně vrací plný přístup pro čtení/zápis na klíč. pro všechny uživatele.
"Takže nyní máme primitivum, které převezme kontrolu nad téměř všemi klíči v registru, a je snadné jej převést na úplnou eskalaci oprávnění," vysvětlil. "Vybral jsem klíč HKLM\SYSTEM\ControlSet001\Services\msserver, který odpovídá službě Windows Installer."
Pomocí stejného procesu zjistil, že je schopen spustit Windows Installer s oprávněními správce a instalačním kódem. Takže obrázek, který se objeví, je vektor využití, který umožňuje spustit jakýkoli spustitelný soubor s nejvyššími možnými právy na jakémkoli počítači se systémem Windows s nainstalovaným Steamem.
"Po převzetí kontroly jednoduše změňte hodnotu ImagePath klíče HKLM\SYSTEM\ControlSet001\Services\msserver a spusťte službu 'Windows Installer'. Program zadaný v ImagePath bude spuštěn jako NT AUTHORITY\SYSTEM," vysvětluje Kravets.
Další nezávislý výzkumník, Matt Nelson (aka enigma0x3), vyvinul důkaz konceptu (PoC) za vadu, kterou zveřejnil na Githubu. Ukazuje, jak použít chybu ke spuštění příkazového řádku systému Windows s oprávněními správce.
HackerOne a Valve
Kravets předložil hlášení o chybě 15. června, které bylo 16. června zamítnuto, protože chyba umožňuje „útoky, které vyžadují možnost ukládat soubory do libovolných umístění v systému souborů uživatele“. Po sporu byla zpráva znovu otevřena – poté uzavřena 20. července ze stejného důvodu s poznámkou, že „útoky...vyžadují fyzický přístup k zařízení uživatele“.
Ačkoli HackerOne řekl Kravets, že nemá oprávnění zveřejňovat podrobnosti o chybě, stejně tak učinil 45 dní po prvním odhalení. Zpráva HackerOne byla od té doby znovu otevřena a Steam aktualizoval klienta, aby řešil „zneužití eskalace privilegií pomocí symbolických odkazů v registru Windows“. Nicméně Kravets řekl, že oprava by se dala obejít.
"Kde mám popcorn?" řekl.
Pokud jde o zlehčování závažnosti chyby ze strany Valve, Kravets navrhl, že by bylo možné napsat software, který by problému využil, což by výrazně zvýšilo nebezpečí chyby. Napsal: "Ve skutečnosti vám Steam umožňuje udělit zvýšená oprávnění pro každý spuštěný program."
A dodává: "Je docela ironické, že launcher, který je ve skutečnosti navržen tak, aby spouštěl programy třetích stran na vašem počítači, jim umožňuje tiše získat maximální privilegia. Jste si jisti, že 90% bezplatná hra vyrobená z odpadků od neznámého vývojáře? se bude chovat čestně a nebude zahrnovat skrytý těžař kryptoměn ? Vysoká práva na malware mohou výrazně zvýšit rizika – programy mohou deaktivovat antivirus, používat hluboká temná místa ke skrytí a úpravě téměř jakéhokoli souboru uživatele, dokonce i ukrást soukromá data.
Společnost Valve okamžitě nevrátila žádost o komentář k tomuto příběhu. HackerOne uvedl, že zkoumá Kravetsova tvrzení, ale v tuto chvíli nemá žádné připomínky. Threatpost se také obrátil na Kravets pro více informací o skutečném zneužívání (a zmírňování).
Zdroj: Threatpost.com
Obchodní podmínky
PŘIHLÁSIT SE K ODBĚRU
Zpráva
Moje komentáře