Notícias

Vulnerabilidade Zero-Day do Steam Afeta Mais de 100 Milhões de Usuários

O popular cliente de jogos Steam para Windows tem uma vulnerabilidade de escalonamento de privilégios de dia zero que pode permitir que um invasor com permissões limitadas execute um programa como administrador

As vulnerabilidades de escalonamento de privilégio são bugs que permitem que um usuário com direitos limitados inicie um executável com privilégios administrativos elevados. Com o Steam tendo  mais de 100 milhões de usuários registrados e milhões deles jogando ao mesmo tempo, esse é um sério risco que pode ser abusado por malware para executar uma variedade de atividades indesejadas.

A vulnerabilidade de escalonamento de privilégios

Dois pesquisadores divulgaram publicamente uma vulnerabilidade de dia zero para o cliente Steam depois que a Valve determinou que a falha era “Não aplicável”. Quando a vulnerabilidade foi submetida ao programa de recompensas de bugs da Valve no HackerOne, a empresa optou por não conceder uma bug bounty ou dar uma indicação de que iria consertá-la, e disse aos pesquisadores que não tinham permissão para divulgá-la.

Em um relatório publicado ontem, o pesquisador de segurança Felix  estava analisando um serviço do Windows associado ao cliente Steam chamado “Steam Client Service”. Quando iniciado, este serviço iniciou seu executável com privilégios SYSTEM no Windows. O pesquisador também notou que o serviço poderia ser iniciado e interrompido pelo grupo “User”, que é praticamente qualquer pessoa logada no computador.

A chave de registro para esse serviço, no entanto, não podia ser gravada pelo grupo “Usuário”, portanto, não poderia ser modificada para iniciar um executável diferente e elevar seus privilégios a um administrador.

O pesquisador encontrou algo estranho , no entanto. Quando o serviço foi iniciado e interrompido, ele concedeu ao grupo “Usuários” acesso completo de gravação às subchaves da chave do Registro HKLM \ Software \ Wow6432Node \ Valve \ Steam \ Apps.

“Eu criei a chave de teste HKLM \ Software \ Wow6432Node \ Válvula \ Steam \ Apps \ test e reiniciei o serviço (o log do Procmon está acima) e verifiquei as permissões da chave de registro. Aqui eu descobri que HKLM \ SOFTWARE \ Wow6432Node \ Valve \ Steam tem explícito” Controle total “para o grupo” Usuários “, e essas permissões herdam todas as subchaves e suas subchaves. Presumi que RegSetKeySecurity define os mesmos direitos, e algo interessante aconteceria se houvesse um link simbólico. Eu criei um link de HKLM \ SOFTWARE \ Wow6432Node \ Valve \ Steam \ Apps \ teste para HKLM \ SOFTWARE \ test2 e reinicie o serviço. “

O pesquisador tentou então configurar um link simbólico de uma dessas subchaves para outra chave para a qual ele não tinha permissões suficientes. Depois de reiniciar o serviço, ele viu que agora também era possível modificar essa chave.

Com esse conhecimento em mãos, o pesquisador percebeu que qualquer chave do Registro poderia ser modificada simplesmente criando um link simbólico de uma subchave em HKLM \ Software \ Wow6432Node \ Valve \ Steam \ Apps para uma chave do Registro segura e, em seguida, reiniciando o serviço.

Isso pode permitir que um serviço em execução com privilégios SYSTEM seja modificado para que ele inicie um programa diferente com direitos elevados.

Assim, uma vulnerabilidade de elevação de privilégio nasceu.

PoC divulgado por outro pesquisador

Depois que Felix divulgou a vulnerabilidade em um artigo , um segundo pesquisador chamado  Matt Nelson , conhecido por descobrir vulnerabilidades de escalonamento de privilégios sob o alias enigma0x3, compartilhou um script de prova de conceito (PoC) no GitHub que abusa da falha.

O PoC de Nelson cria um link simbólico para o Serviço do Cliente HKLM: \ SYSTEM \ CurrentControlSet \ Services \ Steam, para que possa alterar o executável que é iniciado quando o serviço é reiniciado.

Se o PoC for bem sucedido, um prompt de comando do Windows com privilégios administrativos será iniciado em segundo plano, como mostrado abaixo.

Prompt de Comando com Privilégios Elevados
Prompt de Comando com Privilégios Elevados

Nelson diz que também teve problemas de divulgação com a Valve.

Uma fonte familiarizada com o assunto afirmou que o HackerOne reabriu o relatório de bug para investigá-lo mais.

O BleepingComputer entrou em contato com a Valve para obter mais perguntas sobre por que a vulnerabilidade não foi corrigida, mas não recebia resposta no momento desta publicação.

Fonte

Mais Lidas

To Top