Valve dicht opnieuw zerodaylek in Steam en past regels voor bug bounty aan

Valve heeft voor de tweede keer een zerodaykwetsbaarheid in de Steam-client gedicht. Het bedrijf past de regels voor zijn bugbountyprogramma aan nadat de melder van het lek een ban bij het HackerOne-programma kreeg.

De kwetsbaarheid is verholpen in een bèta van de Steam-client voor Windows die Valve donderdag vrijgaf. Deze bevat volgens Valve fixes voor de local privilege escalation- of lpe-kwetsbaarheden die eerder deze week publiekelijk bekend werden. Vorige week moest het gamebedrijf ook al een patch voor de Steam-client doorvoeren vanwege zo'n kwetsbaarheid. Beide lekken waren gevonden door de Russische hacker en onderzoeker Vasily Kravets.

Die bracht de details over de kwetsbaarheden naar buiten nadat zijn melding bij het HackerOne-programma dat Valve heeft voor het melden van kwetsbaarheden werd afgewezen. Hij kreeg daar zelfs een ban. HackerOne coördineert het op een verantwoorde wijze vinden en aandragen van lekken door hackers voor bedrijven. Het bedrijf liet Kravets weten dat zijn eerste melding van een lpe buiten de reikwijdte van Valves programma viel omdat een succesvolle aanval fysieke toegang tot het systeem van een slachtoffer vereist of vereist dat de aanvaller bestanden op willekeurige plekken op het bestandssysteem kan plaatsen.

Volgens Kravets is het verkeerd dat Valve meldingen van escalation of privileges-kwetsbaarheden buitensluit, juist omdat de Steam-client een launcher voor het draaien van software van derde partijen is, met risico's van dien.

Valve meldt nu aan ZDNet dat het afwijzen van de lpe-meldingen te maken hebben met een misverstand: "De regels voor ons HackerOne-programma waren bedoeld om alleen meldingen buiten te sluiten waarbij Steam instructies krijgt om al geïnstalleerde malware als lokale gebruiker te openen op machines van een gebruiker." Valve heeft de scope van het programma inmiddels aangepast om nadrukkelijk duidelijk te maken dat privilege escalation-aanvallen met malware via Steam zonder beheerdersrechten binnen de reikwijdte vallen. Ook meldt het bedrijf dat de ban van Kravets een fout was.

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 23-08-2019 14:27 27

23-08-2019 • 14:27

27

Lees meer

HackerOne-werknemer stal kwetsbaarheidsmeldingen en claimde zelf bugbounty's
HackerOne-werknemer stal kwetsbaarheidsmeldingen en claimde zelf bugbounty's Nieuws van 4 juli 2022
Valve patcht bug die ophogen Steam Wallet-saldo mogelijk maakte
Valve patcht bug die ophogen Steam Wallet-saldo mogelijk maakte Nieuws van 16 augustus 2021
Valve repareert na twee jaar remote code execution-lek in Steam
Valve repareert na twee jaar remote code execution-lek in Steam Nieuws van 19 april 2021
Voor het eerst verdient hacker twee miljoen dollar aan bugbounty's op HackerOne
Voor het eerst verdient hacker twee miljoen dollar aan bugbounty's op HackerOne Nieuws van 24 december 2020
Nieuwe interface voor Steam is over twee weken beschikbaar in bètaversie
Nieuwe interface voor Steam is over twee weken beschikbaar in bètaversie Nieuws van 5 september 2019
Google gaat betalen voor ontdekken van kwetsbaarheden in apps van derde partijen
Google gaat betalen voor ontdekken van kwetsbaarheden in apps van derde partijen Nieuws van 30 augustus 2019
Zeroday in Steam is openbaar gemaakt na onenigheid over bugbountyprogramma
Zeroday in Steam is openbaar gemaakt na onenigheid over bugbountyprogramma Nieuws van 22 augustus 2019
Steam patcht in bèta-update zeroday die privilege escalation mogelijk maakte
Steam patcht in bèta-update zeroday die privilege escalation mogelijk maakte Nieuws van 11 augustus 2019
Meer producten en artikelen
Beveiliging en antivirus Steam Valve

Reacties (27)

-Moderatie-faq
27
27
20
2
0
6
Wijzig sortering
MrFax 23 augustus 2019 14:30
Wat kan een remote hacker nou praktisch met een lpe?
Eonfge @MrFax23 augustus 2019 14:54
Internetcafés. Daar mag je als gebruiker rustig Steam gebruiken, maar je mag niet zomaar Admin rechten krijgen. Met deze exploit was het mogelijk om in internetcafes malware, keyloggers en dergelijke te verspreiden.

Voor thuis en kantoor gebruikers is het inderdaad minder belangrijk, want hoe vaak komt het voor dat je wel de rechten hebt om Steam te gebruiken, maar niet het recht hebt om software te installeren?

[Reactie gewijzigd door Eonfge op 23 juli 2024 09:15]

D0phoofd @Eonfge23 augustus 2019 15:10
Of malware die dergelijke exploits misbruiken. Steam heeft toch een paar miljoen installaties...
dasiro @Eonfge23 augustus 2019 18:27
hangt er maar van af hoe goed die georganiseerd zijn, want 20 jaar geleden kreeg je bij easy via PXE gewoon een cleane installatie en kon je installeren wat je wou (vb napster om mp3's binnen te hengelen O-) )
Verwijderd @Eonfge23 augustus 2019 17:28
Is het meest reële risico niet malware die met een goedkope game binnenkomt? Of via een bug in een game waardoor via die game je PC binnengedrongen kan worden?
wauwwie @MrFax23 augustus 2019 14:35
Een andere aanval kan een hacker lokale user rechten geven, als er een Steam client op die pc staat dan kan deze lpe misbruikt worden om admin rechten te verkrijgen.

Of op je werkplek waar je alleen maar user mag zijn Steam installeren om vervolgens admin op je werkplek te worden.

Legio mogelijkheden om dit te misbruiken. Er zijn meer lpe's om te misbruiken, maar elke lpe is er één teveel.
MartijnHavinga @wauwwie23 augustus 2019 14:39
Of op je werkplek waar je alleen maar user mag zijn Steam installeren om vervolgens admin op je werkplek te worden.
Dat gaat natuurlijk niet werken, voor het installeren van Steam heb je admin rechten nodig :)
kuurtjes @MartijnHavinga23 augustus 2019 14:52
Hey baas mag ik de Steam client om tijdens de pauze wat te spelen en om met een paar mensen in contact te blijven?

of

Mama ik wil dit spelletje.. en je hebt er Steam voor nodig.

[Reactie gewijzigd door kuurtjes op 23 juli 2024 09:15]

Dafader @kuurtjes23 augustus 2019 19:03
Zit jouw baas bij de Werkplek ondersteuning en niet in zn eigen hokkie?
Magic Power @MartijnHavinga23 augustus 2019 16:06
Dat gaat natuurlijk niet werken, voor het installeren van Steam heb je admin rechten nodig :)
Niet helemaal juist. Mijn Steam installatie Heb ik op D:\ ergens gedaan, en kan ik bij een herinstallatie gewoon op die 'Steam.exe' op D:\ dubbelklikken om Steam weer op te starten met alle instellingen nog intact. Dus je hebt geen admin nodig om Steam te installeren. De meeste mensen zullen echter bij het installeren van programma's niet kijken naar die instellingen, en gewoon doorklikken totdat het erop staat, en dan komt het standaard in 'C:\Program Files\', en daar zijn admin rechten voor nodig om het te installeren.

Er is wel 1 service die Steam op de achtergrond laat draaien, zodat het toegang heeft tot die mappen/instellingen die nodig zijn voor de totale 'installatie'. En die service heeft admin nodig. Die heb ik altijd nog met admin laten runnen/installeren, maar ik weet niet in hoeverre je die service nodig hebt, of kunt overslaan. Dus met 100% zekerheid weet ik niet of je Steam volledig admin-loos kunt installeren/gebruiken.
OverTeeHill @Magic Power23 augustus 2019 16:52
Die service heb je volgens mij nodig om effectief de applicaties / games to kunnen starten vanuit steam, iig de eerste keer toch
Crotchy @Magic Power23 augustus 2019 16:59
Deze service wordt o.a. gebruikt voor analytics en anticheat.
EraYaN @MrFax23 augustus 2019 14:33
Van een standaard user account naar het SYSTEM account in dit geval, met een bijna triviale methode.
Ayporos @EraYaN23 augustus 2019 17:06
En laat SYSTEM nou nét nog wat erger zijn dan Administrator. :+
MrFax @Ayporos24 augustus 2019 03:16
Ja met system kan je kritieke services uitzetten en met normale Admin niet, daar zijn bepaalde dingen afgeschermd
jozuf @MrFax23 augustus 2019 14:36
als je als hacker toegang hebt tot een account met beperkte rechten, is dit een manier om meer rechten te verkrijgen.
Noxious @MrFax23 augustus 2019 14:43
Vertrouw jij alle games op Steam? En hun netwerkprotocollen/multiplayer, enz?
crazyx @MrFax23 augustus 2019 14:47
Heel veel hacks zijn tegenwoordig een combinatie van verschillende bugs. Dus je gebruikt eerst een remote exploit waarbij je nauwelijks rechten hebt, dus nog nauwelijks schade kan aanrichten. Maar met deze lpe zijn ze weer een hele stap verder.
Flamesz 23 augustus 2019 14:30
Wordt de ban nu ook teruggedraaid? Of hangt dat nog af van HackerOne?
MicGlou @Flamesz23 augustus 2019 14:51
In het originele artikel van ZDNet staat dat Valve nog bezig is hiermee, maar vooralsnog niet... maar ze hebben al toegegeven dat ze fout zaten dus ik vermoed dat het wel goed. Dit stukje heeft Tweakers (helaas) niet overgenomen.

[quote]VALVE TO REVIEW RESEARCHER'S BAN
The spokesperson also said turning away Kravets' first report "was a mistake," and that the company is reviewing this particular situation to determine the appropriate actions.

When inquired earlier today, Kravets told ZDNet that he was still banned on Valve's HackerOne bug bounty program.[/qoute]
.oisyn Moderator Devschuur® @Flamesz23 augustus 2019 14:35
En krijgt de hacker nu alsnog zijn vergoeding? Ook een interessante vraag: was dit alles ook zo afgerond als hij de bugs niet publiek had gemaakt?
bamboe @.oisyn23 augustus 2019 16:32
Ik vond het ook al raar dat ze zijn aanmelding niet accepteerden maar wel direct een update de wereld in stuurden na zijn bekendmaking van de bug.
Klinkt als dat ze beiden fout zijn geweest, hij met het publiceren en valve met het niet accepteren.
Verwijderd 23 augustus 2019 14:49
Ik vraag me af als hij het niet online had gegooid dat Valve dan alsnog had gedicht en aangaf dat het fout was van hackerone om die ban te geven. Beetje damage control

[Reactie gewijzigd door Verwijderd op 23 juli 2024 09:15]

Luchtbakker 23 augustus 2019 14:34
Dit is wel een hele slechte manier om je dankbaarheid te laten zien . Gewoon doen alsof het allemaal niet bij jou hoort en als dank gewoon je account blokkeren.

Nu zegt de titel: steam past regels aan. In het hele artikel zie ik niks over aangepaste regels, of ben ik nou gek?
.oisyn Moderator Devschuur® @Luchtbakker23 augustus 2019 14:35
of ben ik nou gek?
Ik denk het ;). Laatste alinea:
Valve heeft de scope van het programma inmiddels aangepast om nadrukkelijk duidelijk te maken dat privilege escalation-aanvallen met malware via Steam zonder beheerdersrechten binnen de reikwijdte vallen.

[Reactie gewijzigd door .oisyn op 23 juli 2024 09:15]

Flamesz @Luchtbakker23 augustus 2019 14:37
Laatste zin van het artikel:
"Valve heeft de scope van het programma inmiddels aangepast om nadrukkelijk duidelijk te maken dat privilege escalation-aanvallen met malware via Steam zonder beheerdersrechten binnen de reikwijdte vallen. Ook meldt het bedrijf dat de ban van Kravets een fout was."
Durandal @Luchtbakker23 augustus 2019 14:38
Nu zegt de titel: steam past regels aan. In het hele artikel zie ik niks over aangepaste regels, of ben ik nou gek?
Valve heeft de scope van het programma inmiddels aangepast om nadrukkelijk duidelijk te maken dat privilege escalation-aanvallen met malware via Steam zonder beheerdersrechten binnen de reikwijdte vallen.
Zeg het zelf maar :D

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq