В Службах клиентов Steam обнаружен серьезный локальный 0-дневный эксплойт

Эта тривиально используемая защита обеспечивает любые привилегии пользователя root, т.е. LOCALSYSTEM.

Джим Солтер. 7 августа 2019 г. 22:33 UTC

Ранее недовольный исследователь безопасности Василий Кравец выпустил уязвимость нулевого дня в версии для Windows вездесущего игрового сервиса Steam. Эта уязвимость позволяет любому пользователю запускать произвольный код с привилегиями LOCALSYSTEM, используя всего несколько простых команд.

Уязвимость находится в Сервисе Клиентов Steam. Служба может быть запущена или остановлена ​​непривилегированными пользователями. Это становится проблемой, потому что при запуске клиентская служба Steam автоматически устанавливает разрешения для ряда ключей реестра. Если злонамеренный (или откровенно злонамеренный) пользователь должен был символически связать один из этих ключей с тем, который принадлежит другой службе, для произвольных пользователей становится возможным запуск или остановка тот сервис также. Это становится еще более проблематичным, когда вы осознаете, что можно передавать аргументы службам, которые работают под чрезвычайно привилегированными учетными записями, таким как msiserver, служба установщика Windows.

Приведенное выше изображение пошагово выполняет несколько простых шагов:

  1. Продемонстрируйте, что я не могу написать в C: \ Windows \ System32 \. Системное сообщение об ошибке выделено красным.
  2. Продемонстрировать, что я не могу произвольно обходиться с ключами реестра в HKLM \ CurrentControlSet \ Services. Системное сообщение об ошибке выделено красным.
  3. Удалите установочный ключ NSIS для Steam (чтобы определить себя для shenanigans), затем заново создайте его как символическую ссылку на раздел реестра msiserver. Успех в зеленом.
  4. Продемонстрируйте, что ключ NSIS в Steam теперь указывает на ключ msinstaller в Windows. Успех в зеленом.
  5. Попытайтесь изменить ключ msiserver для запуска моих махинаций. Я еще не запустил клиентские сервисы Steam, поэтому это не удалось. Системное сообщение об ошибке красного цвета.
  6. Запустите клиентские сервисы Steam, затем измените ключ msiserver, как только Steam услужливо открыл его для меня. Успех в зеленом.
  7. Запустите недавно измененную службу msiserver. msiserver работает как LOCALSYSTEM, поэтому он успешно создает файл в C: \ Windows \ System32. Успех в зеленом.

Читайте:

Клиенты EE стремятся к впечатляющему увеличению ск... EE только что объявил, что в этом году будет обеспечивать Glastonbury Festival со скоростями передачи данных 5G, что позволит гуляющим получить доступ к сверхбыстрой загрузке. EE начнет свое первое испытание 5G Glastonbury (Изображение: EE) Клиенты EE скоро смогут протестировать самые последние скорости передачи данных 5G. Мобильная сеть только ...
Новый эксплойт позволяет злоумышленникам получить ... Исключительно: Исследователь создает троян удаленного доступа для интеллектуальных устройств Windows Io Core. Выступая сегодня на конференции, исследователь безопасности раскрыл новый эксплойт, влияющий на операционную систему Windows IoT Core, который дает субъектам угроз полный контроль над уязвимыми устройствами. Больше новостей о безопасности...
В США открываются предварительные заказы на Samsun... Samsung официально выпустила Galaxy Note 10 и 10 23 августа. Флагманы уже доступны более чем в 70 странах и к началу сентября будут доступны примерно на 130 рынках. Наряду с выпуском Galaxy Note 10/10 на рынке Samsung анонсировала свой флагманский планшет Galaxy Tab S6, который можно сделать предварительный заказ в Соединенных Штатах. Покупатели, ...

Я сделал этот тест на чистой виртуальной машине Windows; кроме самого Steam, единственный код, который мне нужно было скачать, был regln-x64.exe, простая утилита для связывания ключей реестра, которая не требует установки. Контроль учетных записей пользователей Windows никогда не запускался во время этого процесса, и все это заняло всего несколько минут. У меня не было установлено ни одной игры Steam, поэтому я просто подключился к установщику Steam.

Подлинно злонамеренный пользователь может использовать эту процедуру для непосредственного извлечения локально или удаленно доступной оболочки с привилегиями LOCALSYSTEM, после чего он может делать все, что ему нравится, без дополнительных хитростей.

Профессиональный водитель на закрытом курсе

Не следуйте этой процедуре на компьютере с Windows, который вам небезразличен; В результате этой демонстрации установщик Steam и служба установщика Windows были повреждены, поскольку это была одноразовая виртуальная машина.

Уязвимость, продемонстрированная здесь, всего 45 дней. Обычно, публичное раскрытие эксплойта было бы быстрым отказом в сообществе Infosec — типичный льготный период для ответа составляет 90 дней. В этом случае трудно обвинить исследователя. После первого сообщения об ошибке через HackerOne она была отклонена как не входящая в сферу применения, и в качестве причины была указана «Атаки, требующие возможности удаления файлов в произвольных местах в файловой системе пользователя».

Читайте:

Клиенты EE стремятся к впечатляющему увеличению ск... EE только что объявил, что в этом году будет обеспечивать Glastonbury Festival со скоростями передачи данных 5G, что позволит гуляющим получить доступ к сверхбыстрой загрузке. EE начнет свое первое испытание 5G Glastonbury (Изображение: EE) Клиенты EE скоро смогут протестировать самые последние скорости передачи данных 5G. Мобильная сеть только ...
Steam, Epic Games Store, GOG, Origin или Microsoft... Steam, Epic Games Store, GOG, Origin или Microsoft Store: какое лучшее место для покупки игр для ПК? Итак, вы только что купили новый компьютер или просто обновили свою видеокарту и теперь, вероятно, задаетесь вопросом, в какие игры играть на вашем компьютере. Но прежде чем вы сможете ответить на этот вопрос, большая проблема где Вы должны покупат...
Google включит некоторых рекламных клиентов в упра... Google включит некоторых рекламных клиентов в управляемый сервис, если они не откажутся до 4 февраля. Google отправил электронные письма некоторым рекламным клиентам, в которых сообщалось, что они будут управлять и оптимизировать свои рекламные кампании, если они не откажутся к 4 февраля.. Ларри Диньян для «Между строк» ​​| 25 января 2019- 14:44 ...

Атака не требует удаления какого-либо файла или каких-либо специальных привилегий. Несмотря на то, что мы загрузили regln-x64, чтобы сделать концепцию более красивой, я мог бы выполнить ее задачу — создание ссылок на разделы реестра — прямо в regedit.exe.

Когда исследователь поспорил с сотрудниками HackerOne, второй сотрудник HackerOne в конце концов воспроизвел эксплойт, подтвердил отчет и отправил его в Valve. Но через несколько недель третий сотрудник HackerOne снова отклонил его. Сотрудник повторил «Атаки, требующие возможности сбрасывать файлы в произвольных местах в файловой системе пользователя», и добавил «Атаки, которые требуют физического доступа к устройству пользователя», в качестве причин, по которым уязвимость предположительно выходит за рамки.

Отклонено

Вторая причина отклонения не более действительна, чем первая: разработчик вредоносной «игры» может легко создать бесплатную «игру», которая воспроизводит все шаги этого эксплойта. Такой плохой актер может получить оболочку с привилегиями LOCALSYSTEM и владеть компьютером пользователя.

С этим вторым отклонением Василий решил, что не было никакого другого выхода, кроме публичного раскрытия, и он сообщил HackerOne, что он раскроет после 30 июля. Он утверждает, что 2 августа, еще один сотрудник HackerOne запретил раскрытие уязвимости, несмотря на то, что HackerOne закрыл он постоянно выходит за рамки возможного, в то время как сам Valve так или иначе никогда не взвешивался.

Арс связался с Valve по поводу этой истории, и мы будем сообщать о любом ответе.

Читайте:

Клиенты EE стремятся к впечатляющему увеличению ск... EE только что объявил, что в этом году будет обеспечивать Glastonbury Festival со скоростями передачи данных 5G, что позволит гуляющим получить доступ к сверхбыстрой загрузке. EE начнет свое первое испытание 5G Glastonbury (Изображение: EE) Клиенты EE скоро смогут протестировать самые последние скорости передачи данных 5G. Мобильная сеть только ...
Steam Link и Steam Controller — подробный обзор иг... Как вы знаете — перенести игровой процесс с компьютера на телевизионный экран является довольно старой идеей. Одним из первых к этому процессу подключилась компания Nvidia, предложив свой игровой планшет и программное обеспечение, с помощью которого можно было играть в игры, используя телевизор и мощность своего персонального компьютера. Такой комп...
Магазин Epic Games отказался бы от эксклюзивов, ес... Генеральный директор Epic Суини бросает вызов Valve, чтобы соответствовать низкому уровню доходов разработчиков Генеральный директор Epic Тим Свини (Tim Sweeney) фактически бросил вызов Valve, заявив, что если Steam выберет Epic Games Store с точки зрения снижения сокращения, которого требуют разработчики, до 12%, Epic перестанет проводить политик...
, , ,