Wygląda na to, że Valve nie stanęło na wysokości zadania. Popularna aplikacja Steam ma lukę typu zero-day, która naraża na niebezpieczeństwo ponad 100 milionów użytkowników platformy dystrybucji cyfrowej. Pozwala ona cyberprzestępcom uzyskać dostęp do przywilejów administratora poprzez eskalację uprawnień.
Za opublikowanie informacji o wrażliwości odpowiedzialni są Felix i Matt Nelson, którzy podzielili się nią na Twitterze. Postanowili to zrobić publicznie, gdyż Valve zupełnie zignorowało zagrożenie, określając je mianem „nie mającego żadnego praktycznego zastosowania”. Firma nie nagrodziła także mężczyzn odpowiedzialnych za wykrycie podatności.
Here is a 0day in Steam. This bug has been publicly disclosed (https://t.co/yQxqJUi9P3), so I’m opening up my PoC. No blog post since @PsiDragon covered it nicely. https://t.co/it7wAZbnF2
— Matt Nelson (@enigma0x3) August 7, 2019
Felerną okazuje się usługa Steam Client Service, która może zostać uruchomiona lub zatrzymana przez użytkowników bez stosownych uprawnień systemowych. Dlaczego jest to problemem? Po uruchomieniu Steam Client Service automatycznie przyznaje uprawnienia w pewnym zakresie kluczy rejestru. Cyberprzestępcy poprzez dowiązanie symboliczne mogą powiązać taki klucz z kluczem z innego serwisu, mogąc przejąć nad nim w ten sposób kontrolę i zatrzymać go. Dotyczy to także procesów takich jak msiserver należącego do Windows Installera.
Wbrew temu co sądzi Valve, metoda działa w praktyce, co demonstrował Matt Nelson, jeden ze specjalistów odpowiedzialnych za odkrycie luki. Sprawdził to również Jim Salter z ArsTechnica, który w swoim artykule zaprezentował, że Steam faktycznie jest dziurawy.
Źródło: Ars Technica
Wszystkie powyższe otwierają szeroko furtkę aplikacjom typu malware, które po przypisaniu uprawnień administratora mogą wyrządzić na zainfekowanym komputerze poważne szkody. Co gorsza, nawet nieuczciwi deweloperzy gier mogą umieścić w swoich produkcjach kod, który będzie w stanie odtworzyć wszystkie kroki niezbędne do przejęcia kontroli nad komputerem danego użytkownika.
Valve nie skomentowało jeszcze sprawy.
Źródło: Twitter, ArsTechnica