Steam client issue, Valve doet niks.

Door ShellGhost op vrijdag 9 augustus 2019 09:42 - Reacties (8)
Categorie: -, Views: 2.581

Er is een zero day ontdekt in de Steam client van Valve.
Deze zero-day houd in dat een hacker een programma met admin prvileges kan laten draaien.

Deze 0-day is gepubliceerd nadat Valve dit als niet belangrijk bestempelde. Door de aandacht zal hun gedachte wel gaan veranderen vermoed ik zo.

De flaw zit in het volgende:
De client heeft toegang tot een bepaalde registry sub keys: HKLM\Software\Wow6432Node\Valve\Steam\Apps
Op het moment dat de service Steam Client Service wordt herstart krijgt iedereen write toegang tot de sub keys.
Iemand of iets, kan dus een symlink in zetten naar een andere registry key die hij/zij/het normaal gesproken niet kan wijzigen, nu wel gewijzigd kan krijgen.
Interessant voor malware dus.

Voor meer informatie: https://www.bleepingcompu...s-over-100-million-users/

Update 10-8:
Valve heeft een beta vrij gegeven van de client met een belangrijke vermelding:

Steam Windows Service:
Fixed privilege escalation exploit using symbolic links in Windows registry

Bron: https://steamcommunity.co...etail/1602638506845644644

Volgende: Signal database is te lezen met software pakket. 09-'19 Signal database is te lezen met software pakket.
Volgende: APT41 breakdown door FireEye. 08-'19 APT41 breakdown door FireEye.

Reacties


Door Tweakers user ilaurensnl, zaterdag 10 augustus 2019 03:42

Malware moet op de computer zelf gedraaid worden, voordat dit een risico kan veroorzaken.

Om administrator rechten programma's te starten heeft steam ook admin rechten nodig; dus de malware kan dit waarschijnlijk niet zelf doen. Waardoor ze dit alleen kan misbruiken als de gebruiker zelf steak start.

Vind het niet bepaald raar dat ze dit afschuiven op low priority.

Door Tweakers user ShellGhost, zaterdag 10 augustus 2019 08:16

ilaurensnl schreef op zaterdag 10 augustus 2019 @ 03:42:
Malware moet op de computer zelf gedraaid worden, voordat dit een risico kan veroorzaken.

Om administrator rechten programma's te starten heeft steam ook admin rechten nodig; dus de malware kan dit waarschijnlijk niet zelf doen. Waardoor ze dit alleen kan misbruiken als de gebruiker zelf steak start.

Vind het niet bepaald raar dat ze dit afschuiven op low priority.
Malware moet altijd lokaal draaien....
Jij kan gewoon de service stoppen en starten, dus als jij dat kan, kan malware dat ook.
Dus waarom is het niet raar dat ze dit als low prio afschuiven ook alweer?

Door Tweakers user Jelle Brolnir, zaterdag 10 augustus 2019 09:04

Ai en aangezien een groot deel van de steam gebruikers ook nog steeds in staat is gescammed te worden met hun skins bijvoorbeeld kan ik mij voorstellen dat ze zomaar op een linkje drukken die iets download.

Door Tweakers user M.l., zaterdag 10 augustus 2019 13:40

ilaurensnl schreef op zaterdag 10 augustus 2019 @ 03:42:
Malware moet op de computer zelf gedraaid worden, voordat dit een risico kan veroorzaken.

Om administrator rechten programma's te starten heeft steam ook admin rechten nodig; dus de malware kan dit waarschijnlijk niet zelf doen. Waardoor ze dit alleen kan misbruiken als de gebruiker zelf steak start.

Vind het niet bepaald raar dat ze dit afschuiven op low priority.
DIt is alsnoog een privilege escalation. Wel een probleem dus.

Door Tweakers user sfranken, zaterdag 10 augustus 2019 16:34

ShellGhost schreef op zaterdag 10 augustus 2019 @ 08:16:
[...]


Malware moet altijd lokaal draaien....
Jij kan gewoon de service stoppen en starten, dus als jij dat kan, kan malware dat ook.
Dus waarom is het niet raar dat ze dit als low prio afschuiven ook alweer?
Draai jij Steam als admin dan (rechts klikken -> uitvoeren als ...) ? Dan ben je m.i niet zo slim bezig namelijk.

Het is trouwens normaal dat een programma toegang heeft tot zijn eigen registry keys, anders word voorkeuren lezen/schrijven wat lastig, denk je niet?

[Reactie gewijzigd op zaterdag 10 augustus 2019 16:35]


Door Tweakers user ShellGhost, zaterdag 10 augustus 2019 16:38

sfranken schreef op zaterdag 10 augustus 2019 @ 16:34:
[...]

Draai jij Steam als admin dan (rechts klikken -> uitvoeren als ...) ? Dan ben je m.i niet zo slim bezig namelijk.

Het is trouwens normaal dat een programma toegang heeft tot zijn eigen registry keys, anders word voorkeuren lezen/schrijven wat lastig, denk je niet?
Heb je het artikel überhaupt wel gelezen?

Door Tweakers user T-Forever, maandag 12 augustus 2019 03:36

ShellGhost schreef op zaterdag 10 augustus 2019 @ 16:38:
[...]


Heb je het artikel überhaupt wel gelezen?
Ja, jij ook?

Door Tweakers user Koffiebarbaar, maandag 12 augustus 2019 08:46

ilaurensnl schreef op zaterdag 10 augustus 2019 @ 03:42:
Malware moet op de computer zelf gedraaid worden, voordat dit een risico kan veroorzaken.

Om administrator rechten programma's te starten heeft steam ook admin rechten nodig; dus de malware kan dit waarschijnlijk niet zelf doen. Waardoor ze dit alleen kan misbruiken als de gebruiker zelf steak start.

Vind het niet bepaald raar dat ze dit afschuiven op low priority.
Dit lijkt een behoorlijk bonafiede privilege escalation bug want je kan vanuit user context programma's als administrator uitvoeren zonder UAC interventie zo te zien, ze zijn gewoon te gierig om uit te betalen en behandelen die bug daarom als zodanig.

[Reactie gewijzigd op maandag 12 augustus 2019 08:47]


Reageren is niet meer mogelijk