Beveiligingsbedrijf ontdekt kwetsbaarheid in Steam
Een beveiligingsbedrijf heeft kwetsbaarheden in Steam en een aantal populaire games ontdekt, waarmee een aanvaller code kan laten uitvoeren op systemen. In sommige browsers is het klikken op een steam://-link voldoende.
Beveiligingsbedrijf ReVuln heeft een beveiligingsprobleem ontdekt in Steam, schrijft Ars Technica. Door gebruik te maken van de Steam protocol handler, waarmee url's worden verwerkt die beginnen met steam://, konden de onderzoekers van ReVuln op afstand programma's installeren, starten en uitbuiten.
Dat kan door het reinstall-commando mee te geven in een link, waarmee een backup van een spel opnieuw geïnstalleerd kan worden. Een van de parameters van de opdracht is het pad waarlangs Steam zoekt naar een splashscreen en een installatiebestand. Door een kwetsbaarheid in de verwerking van deze splashscreens is het mogelijk om een buffer-overflow te creëren, waarin een aanvaller code kan injecteren.
Een andere mogelijkheid die de onderzoekers ontdekten, is het exploiteren van kwetsbaarheden in games via Steam. Bij spellen op basis van de Source Engine kunnen de onderzoekers bestanden op willekeurige plekken aanmaken, zoals batch-script in de Startup-folder van Windows. APB: Reloaded, MicroVolts en spellen op basis van de Unreal Engine kunnen misbruikt worden om code van de aanvaller te downloaden uit een willekeurige bron en deze uit te voeren.
ReVuln merkt op dat niet alle gebruikers even kwetsbaar zijn voor de aanvallen. De browsers Internet Explorer, Firefox, Chrome en Opera vragen om een bevestiging zodra er links zijn aangeklikt die door een extern programma worden afgehandeld. Safari en de ingebouwde browser van Steam doen dit niet, waardoor het klikken op een frauduleuze Steam-link genoeg is voor een aanvaller. Valve heeft nog niet gereageerd op de ontdekking van ReVuln.
Reacties (24)
Ik neem aan dat het bedrijf ook Valve benaderd heeft in plaats van alleen de media op te zoeken? Hopelijk wordt het snel door Valve Software opgelost.
[Reactie gewijzigd door Zerfox op donderdag 18 oktober 2012 08:41]
Ik heb hier geen bron voor, maar ik weet bijna zeker dat Steam, en vooral de games die via Steam verkocht worden verreweg de grootste inkomstenbron van Valve is.
Dit is ook weer uit te zetten door linksboven in je scherm op de oranje knop te klikken en dan op options -> options -> applications.
Lastig ja, pijnlijk nee. Steam is voor veel spellen een noodzakelijk kwaad.
Dat er een security bug in het Steam protocol zit, tsja dat kan, mag niet, maar het kan.
Maar het is nu niet zo dat er elke keer een probleem is met de Steam client.
Steam heeft een reputatie als betrouwbaar, client problemen worden over het algemeen snel opgelost. 1 bug zorgt niet gelijk voor een deuk.
Wel hoop ik dat, zoals Zerfox al zei, dat de onderzoeker wel eerst Valve heeft gecontracteerd zodat ze dit kunnen dichten.
Wel denk ik dat je deze aangepaste links vooral zult tegenkomen in "click here to get free Steam games" achtige sites en dat de meeste mensen daar niet in zullen trappen. Dat neemt natuurlijk niet weg dat dit een grote blunder is van Valve en dat dit misschien het resultaat is van het zeer vrije bedrijfsklimaat.
Account hijacks zijn overigens bij Steam al geruime tijd een probleem. Sommige steam item inventories zijn een gewild hack object (denk aan zeldzame TF2, Dota items of te ruilen steamgames). Het slachtoffer krijgt meestal wel z'n spullen maar de daders hebben het meeste spul via een serie van mules/tussenpersonen dan alweer doorverkocht aan willoze slachtoffers.
Ik betwijfel trouwens of deze hack echt "nieuw" is.
Vooral handig om de forums te bezoeken als jij of iemand waarmee je speelt een probleem heeft.
Of om even wat info te zoeken om verder te komen als je obscure developer logica moet zien te ontrafelen.
Het grootste probleem is dan denk ik ook dat de steambrowser gemaakt is om die steam links direct te openen en naar de juiste tab te gaan, of om functionaliteit binnen steam aan te sturen.
Opletten maar de komende dagen, zeker nu het nieuws verspreid is.
)
Al valt het raakvlak van dit probleem vast wel mee. Ik gebruik de browser ingame zeer sporadisch voor andere dingen dan Valve sites aangezien ik dan zegmaar bezig ben met een game.
Lijkt me dus niet iets wat geexploteerd gaat worden om grootschalige schade mee aan te richten.
Het kan ook een link op een willekeurige website zijn. Als de link maar begint met steam://Ok so een frauduleus link in steam zelf kan dit triggeren. De vraag is nu hoe krijg je dat link in steam om mee te beginnen?
[Reactie gewijzigd door Toet3r op donderdag 18 oktober 2012 14:10]
Ja want virussen bestaan ook niet voor de Mac. Want Apple zegt dat het virusvrij is dan geloven we het maar toch?safari is de standaard mac brouwer dus niet boeiend omdat je niet zomaar code kan uitvoeren op zo'n ding
Dat is wat je bewering eigenlijk zegt, gezien virussen ook code uitvoeren en dat kan ook gebeuren zonder dat de gebruiker het ziet. Dus het zeker wel boeiend voor een Mac gebruiker die ook Steam erop heeft staan. Gezien Steam ook wat Mac spelletjes heeft zal dit vast wel op aantal Mac computers staan.
of de backpack inspectie functie die op tf2 servers nog wel eens draait
*kijkt naar de dvd-cases in zijn kast en glimlacht*
Als dit zo door blijft gaan met die custom URI's in de browsers, dan begin ik toch wel te vrezen dat de makers van populaire browsers restricties in die functionaliteit gaan inbouwen. Eerst die USSD codes en nu dit weer.
Overigs wordt er -bij de browsers die de 'default configuratie' hebben- inderdaad wel om een bevestiging gevraagd, maar wie zou 'onthoud mijn keuze' niet gebruiken als hij/zij constant met dezelfde protocol-URI te maken krijgt?
Edit: wat verduidelijking
[Reactie gewijzigd door RoestVrijStaal op donderdag 18 oktober 2012 14:22]
Op dit item kan niet meer gereageerd worden.
Populair: Asus Samsung Websites en communities Mobiele telefoons Laptops Sony Games Microsoft Consoles Microsoft Xbox One
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
