______________________________________________________________________________________________________________

HackFix.ru - информационный портал,рассказывающий о событиях в области защиты информации,
взломах,инструментах аудита,программировании для пентестеров!

В клиенте Steam для Windows нашли 0-day

Независимый исследователь Василий Кравец раскрыл уязвимость нулевого дня в клиенте Steam для Windows после того, как компания — владелица игровой платформы отказалась исправлять ошибку и выплачивать за нее награду. Несколько позже разработчики Valve все же опубликовали патч, который, по словам эксперта, можно обойти.

Баг позволяет злоумышленнику повысить привилегии в системе и запустить какую угодно программу на компьютере под управлением Windows, где установлен Steam.

Так как в Steam зарегистрировано более миллиарда пользователей по всему миру, из которых около 90 млн активны, потенциальная атака может нанести огромный ущерб. Тем не менее, представители Valve заявили, что залатали ошибку после сообщения исследователя на платформе для багхантеров HackerOne.

Ошибка в Steam возникает при использовании симлинков

Кравец обнаружил, что клиентский сервис Steam работает с системными привилегиями и может запускать службы или исполняемые файлы через символические ссылки (симлинки). Последние действуют по принципу ярлыков, так как в них содержатся не данные, а путь от одного файла или каталога к другому.

Исследователь выяснил, что службу Steam может запустить и остановить пользователь с обычными привилегиями. В таких случаях он получает доступ к списку подразделов ключа реестра HKLM\Software\Wow6432Node\Valve\Steam\Apps.

«Здесь я обнаружил, что у HKLM\SOFTWARE\Wow6432Node\Valve\Steam есть очевидный полный контроль над группой users, а эти права переходят ко всем подразделам, а также подразделам внутри них», — пояснил Кравец. После этого он решил проверить, можно ли получить контроль над HKLM\Software\Wow6432Node\Valve\Steam\Apps, права доступа к которому ограничены, использовав симлинк для указания на защищенный ключ реестра с полными правами.

Выяснилось, что в таком случае после перезапуска сервиса пользователь получает неограниченный доступ и к защищенному разделу реестра.

Используя эту процедуру, Кравец получил контроль над установщиком Windows, позволяющим запускать на компьютере любой исполняемый файл с правами администратора.

Другой независимый эксперт, Мэтт Нельсон (Matt Nelson), разработал PoC-эксплойт для уязвимости, который опубликовал на GitHub. Он демонстрирует, как использовать эту ошибку для того, чтобы запустить командную строку с правами администратора.

Valve не считают уязвимость опасной

Отчет о дыре Кравец выложил на платформу HackerOne 15 июня, а уже на следующий день получил ответ, в котором компания отказывалась признавать ошибку. По мнению разработчиков игрового сервиса, такие атаки требуют возможности перемещать файлы в произвольные места в системе пользователя. После оспаривания отчет снова открыли — и закрыли 20 июля по той же причине, но на сей раз с примечанием, что «для атаки требуется физический доступ к устройству».

При этом представители Valve запретили специалисту раскрывать детали уязвимости. Однако Кравец все равно поделился информацией через 45 дней после того, как сообщил компании об ошибке. После этого разработчики Steam выпустил патч, однако эксперт сказал, что его можно обойти.

«Иронично, что программа, предназначенная для запуска стороннего ПО, молчаливо выдает ему максимум привилегий. — отмечает исследователь. — Вы уверены, что бесплатная игра неизвестного разработчика будет вести себя прилично? Вы не думаете, что за скидку в 90% можете получить скрытый майнер? Повышенные права вредоносного ПО значительно повышают риски — оно может отключить антивирус, укрыть в темных уголках любые файлы или изменить их, даже украсть личные данные».

Ни Valve, ни HackerOne на момент публикации не дали комментариев.

источник

Добавить комментарий

Ваш e-mail не будет опубликован.

______________________________________________________________________________________________________________
^ Наверх