Steam客戶端被曝存在0Day漏洞，超1億用戶受影響

雷鋒網8月10消息，據外媒報道，Windows最受歡迎的遊戲平台Steam客戶端版本發現有0Day特權升級漏洞，該漏洞可允許具有有限許可權的攻擊者以管理員身份運行程序。

據悉，許可權升級漏洞是應用中的一個錯誤操作程序，它使許可權有限的用戶可以使用提升許可權或管理許可權啟動可執行文件。

考慮到Steam平台擁有超過1億註冊用戶以及數百萬潛在註冊用戶，因此這是一個嚴重的風險，可能被惡意軟體濫用以執行各種不需要的活動。

在昨天發布的一份報告中，安全研究員Felix分析了與Steam客戶端相關的Windows服務，其被稱作「Steam客戶端服務」。

他稱，啟動時，此服務在Windows上以SYSTEM許可權啟動其可執行文件。研究人員還注意到該服務可以由「用戶」組啟動和停止，「用戶」組幾乎都是登錄計算機的人。

研究人員還發現當服務啟動和停止時，它為「用戶」組提供了對HKLM Software Wow6432Node Valve Steam Apps註冊表項下的子項的完全寫入許可權。

起初，此服務的註冊表項不能由「用戶」組寫入，因此無法修改它以啟動其他可執行文件並將其許可權提升為管理員。但經過進一步研究之後，Felix發現了用非常規手段將普通用戶許可權提升至最高管理許可權的方法：

「我創建了測試密鑰HKLMSoftwareWow6432NodeValveSteamApps est，重新啟動了服務(Procmon的日誌在上面)，並檢查了註冊表密鑰許可權。在這裡我發現HKLMSOFTWAREWow6432NodeValveSteam對『用戶』組有明確的『完全控制』許可權，這些許可權將繼承所有子鍵功能。」

假設RegSetKeySecurity設置了相同的許可權，如果有符號鏈接，就會發生一些有趣的事情。我創建了從HKLMSOFTWARE wow6432節點ValveSteamApps est到HKLMSOFTWARE est2的鏈接，並重新啟動了服務。

此後，Felix嘗試從這些子鍵功能鏈接到另一個他沒有足夠許可權的子鍵功能。重新啟動服務後，他發現現在也可以修改密鑰。

研究人員意識到，只要從HKLMSoftwareWow6432NodeValveSteamApps下的子密鑰創建一個符號鏈接到一個安全的註冊表密鑰，然後重新啟動服務，就可以修改任何註冊表密鑰。

基於以上原理，該特權提升漏洞可以允許修改具有系統特權的服務，從而啟動具有更高許可權的不同程序。

Felix披露了漏洞之後，另一位研究員Matt Nelson相繼發現enigma0x3別名下的許可權升級漏洞，他在GitHub上共享了一個濫用該漏洞的概念驗證（PoC）腳本。

Nelson的PoC創建了一個HKLM:SYSTEMCurrentControlSetServicesSteam客戶機服務的符號鏈接，這樣它就可以更改在重新啟動服務時啟動的可執行文件。

如果PoC成功，將在後台啟動具有管理許可權的Windows命令提示符。此原理同樣適用於Valve的0Day漏洞。

Nelson和Felix在發現給問題後均第一時間向Vavle報告，但是都沒有得到官方修補漏洞的回復且拒絕給予二人相應的賞金獎勵。

參考來源：BleepingComputer

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！