Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Valve repareert na twee jaar remote code execution-lek in Steam

Valve heeft een remote code execution-lek in Steam opgelost, maar vergelijkbare kwetsbaarheden zijn nog aanwezig. Beveiligingsonderzoekers maakten onlangs bekend dat er diverse rce's in Steam en Source-games zitten die al jaren niet zijn gepatcht.

Volgens de Duitse hacker Florian heeft Valve de kwetsbaarheid die hij heeft gevonden, nu opgelost en mag hij de details daarover delen. Hij heeft dat nog niet gedaan, maar op Twitter schrijft hij dat er een gedetailleerd technisch verslag op komst is.

Vorige week bracht hackersgroep Secret Club het bestaan van diverse rce-kwetsbaarheden in Steam en Source-games onder de aandacht. De bugs werden al lange tijd geleden gemeld via bugbountyplatform HackerOne, waar Valve bij is aangesloten. Valve repareerde de fouten echter niet en ging aanvankelijk niet in op berichten van de beveiligingsonderzoekers. De details van de lekken zijn niet openbaar gemaakt.

Florian kreeg na herhaaldelijk contact opnemen met Valve en HackerOne wel een vergoeding voor zijn vondst, maar twee jaar na het melden van de kwetsbaarheid was die nog niet opgelost. Inmiddels is dat dus wel het geval. Valve heeft zelf niet publiekelijk gereageerd op de kwestie en het is niet bekend of de andere lekken ook op korte termijn worden gedicht.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Julian Huijbregts

Nieuwsredacteur

19-04-2021 • 10:01

53 Linkedin

Submitter: jellecraft2000

Reacties (53)

Wijzig sortering
En iedereen mij maar -1's geven bij topics over verschillende stores, toen ik zei dat ik weet dat Steam onveilig is en ik het nooit wil gebruiken, het niet op prijs stel dat het vereist is, en Steam graag wil vermijden. Tjah. Runnen in VM is ook niet altijd een optie. Cracken is taboo. Wat is dan de legitieme oplossing om mijn gekochte games zonder gedoe te spelen? (als ze alleen op Steam beschikbaar zijn)

Nieuwe wetgeving? (wat voor wetgeving zou ik niet weten, maar bedrijven bieden niet vele oplossingen)

[Reactie gewijzigd door grasmanek94 op 19 april 2021 10:09]

Het gaat om exploits in source games gecombineerd met invites, niet specifiek om de Steam Client zelf.
De kop is dus nodeloos verwarrend want als je dat leest zou je kunnen denken dat het om de Steam client gaat.
Ik dacht dat het om het invite systeem via een Valve game gaat. Het zou dus kunnen dat je de code op een server zet en dan een invite stuurt waarna de code runt op de machine van de ontvanger. Dat is wat ik denk dat deze exploit is, en dat zou dus bedoelen dat het puur de steam client is, maar we zullen wachten tot het daadwerkelijke artikel online komt.

Verder is dit een letterlijke RCE die via "source games" mogelijk is, waar er dus veel gratis van zijn. Dus als het via een game zelf is kan je waarschijnlijk zeer gemakkelijk iemand social engineeren.

Verder is een RCE in eenders welk product van zo'n groot bedrijf iets dat snel aangepakt zou moeten worden.
Als je 'weet' dat Steam onveilig is, hoor ik graag hoe precies. Als je wilt kan je het ook met mij prive delen, dan zorg ik dat het gefixt wordt.
Op deze manier is het natuurlijk makkelijk geld verdienen. Als je dit "weet" kan je net zo goed zelf die bugbounty indienen.
Ik werk met Valve, maar ik snap je punt. Maar de uitnodiging geldt ook voor hem. Waarom zou je niet 'makkelijk' geld willen verdienen als je van een lek afweet?
Nouja, dit artikel heeft het over 1 bepaald lek die al lang geleden gemeldt was maar na 2 jaar nog steeds niet gemaakt, en nu dus pas na dat gezever hierover vorige week hebben ze het snel gefixed. De vraag is dan, hoeveel meer lekken zijn er al gemeldt en nog steeds niet gefixed, dit was namelijk niet de eerste keer dat een lek al lang er in zat en eerder gemeldt was maar ook niets mee gedaan was totdat er publiekelijk over geklaagd was.
En daar tegen over zijn er ook weer 716 security reports opgelost in de afgelopen 3 jaar.

Een probleem zal wel op de juiste plek en manier gemeld moeten worden. Het is schier onmogelijk om alle berichten van alle 150 miljoen gebruikers te lezen ;)
De bugs werden al lange tijd geleden gemeld via bugbountyplatform HackerOne, waar Valve bij is aangesloten.
WTF is dan wel de juiste plek en manier om het aan te melden?
Ze zijn na enige maanden wel degelijk bij Valve beland, en toen heeft het nog ruim een jaar geduurd voor die actie ondernamen.
Stop eens met het maken van excuses voor Valve.. leuk dat je met ze werkt, maar moet je ze daarom ook verdedigen?
Dat is inmiddels gecorrigeerd,
En daarna heeft het nog steeds ruim een jaar geduurd... zoals ik al aangaf.
Dat is een feit, geen mening, geen drogreden.
Het issue was afgewezen, door H1, policy is aangepast, en is niet opnieuw ingediend helaas.

Is het slecht? Ligt de fout bij meerdere partijen (indiener, H1 en Valve)? Sure. Maar je kunt niet een partij, die niet eens op de hoogte was van de bug, er schuld van geven lijkt me.
die niet eens op de hoogte was van de bug,
Nogmaals, na enkele maanden waren ze wel op de hoogte van de bug, t, maar daarna heeft het nog ruim een jaar geduurd voor er een echte oplossing kwam...
Precies dit. Mensen melden graag alles bij Valve. De bal ligt bij Valve.
Vreemde reactie als je dit artikel leest. 'Hoe' Steam onveilig is en de beperkingen waarmee dit mag gecommuniceerd worden is s precies waar dit artikel over gaat.
Dit is niet Steam, maar CSGO.
Beveiligingsonderzoekers maakten onlangs bekend dat er diverse rce's in Steam en Source-games zitten die al jaren niet zijn gepatcht.
Het gaat om meer dan dit specifieke geval.
Die kwamen allemaal van dezelfde partij/persoon. Die dus, onterecht, geblokkeerd werd.
En wat verandert dat aan de claim?
Oh sorry, reageer op de verkeerde reactie.
Ik heb geen toegang tot de exploits, er is wel op mij ge-demo'd door een (voor zover mij bekend vriendelijke) mede-internetgebruiker. Ik kan begrijpen dat Steam client waarschijnlijk een grote codebase is, en de nodige uitdagingen met zichzelf mee brengt, maar het voelt gewoon zo lek als een mandje als je gebruikerssessie jarenlang 1-2-3 gePWNed kan worden. Als ik nog reactie ontvang van die persoon hoor je wel, maar hij is al meer dan een jaar niet meer online geweest op Telegram.
De eerstvolgende demo neem ik ook wel op (incl. steam versie).

[Reactie gewijzigd door grasmanek94 op 19 april 2021 11:52]

Top, ik hoor het graag (of HackerOne). Als sessies zo makkelijk gepwned zouden worden, zouden er wel wat meer higher profile accounts gekaapt worden.

In de meeste gevallen heb je dan al toegang tot de computer (RAT/malware), en ik weet niet of je dan zaken goed kan voorkomen / de verantwoordelijkheid bij Steam kan leggen. Maar hoe minder bugs, hoe beter uiteraard.
Geen enkele store doet het in mijn ogen goed, maar Steam doet het doorgaans wel beter dan de concurrentie. De malware die met de Epic store meekomt is helemaal verschrikkelijk en de andere alternatieven zijn er eigenlijk alleen maar voor hun games.

Goed, GOG heeft nog een schone lei. Daar vind je niet heel veel games op in vergelijking met Steam en Epic maar de games die je er wel vindt, zijn meestal DRM-vrij. Het is alleen niet zo dat ik heel veel vertrouwen heb in CD:PR na het Cyberpunk-debakel.
GoG is dan ook niet van de games studio CD Project Red, zoals The Witcher en Cyberpunk. GoG valt onder CD Project, net als ontwikkelstudio Red. :)
Waarschijnlijk omdat je reageert op een topic waarin duidelijk staat dat het over spellen gaan die op steam staan gecombineerd met een steamfeature. Die steamfeature is niet per se onveilig, het probleem ligt em in de source games.
Je moet je als bedrijf zijnde toch de ogen uit je kop schamen als je een remote execution lek na 2 jaar nog steeds niet hebt gefixed maar wel de melder uitbetaald voor het vinden van het lek (en daarmee dwingen zijn mond te houden)
Tsja, tegelijkertijd weet je niet of dit waar is. Kan zomaar zijn dat dit bij HackerOne gestagneerd is / verkeerd gecategoriseerd? Heb zelf ook ervaring dat zaken daar een paar keer afgewimpeld worden door de 'moderators' of bij de verkeerde partij terecht kwamen.

Valve is over het algemeen vrij snel met fixen/patchen van zaken, zelfs minder belangrijke zaken. De persoon in kwestie kan ook wat behoefte aan aandacht gehad te hebben ;) Zou n iet de eerste keer zijn in ieder geval.
Valve is over het algemeen vrij snel met fixen/patchen van zaken, zelfs minder belangrijke zaken.
Ze hebben in 7 jaar tijd nog steeds niets gedaan aan het bij herhaling gerapporteerde probleem dat fonts in de Steam Client te klein zijn voor mensen met bijv. oogproblemen om duidelijk te kunnen lezen, en dat er een optie nodig is om de font-size te wijzigen.

Sinds de introductie van de nieuwe web-based interface voor de Steam library op basis van cover flows eind 2019 wordt er massaal gevraagd om de oude list-views terug te brengen als mogelijkheid omdat de cover flows als te druk ervaren worden. Hier vallen ook zaken onder als mensen met vormen van epilepsie waar de kleurrijke cover flow weergave te sterke prikkels geeft en hen triggert.

In 2019 heeft Valve nog een gigantisch lek in de Steam Client gepatched wat een triviale permissions bypass van standaard gelimiteerde gebruikersrechten tot aan de SYSTEM user mogelijk maakte. Deze was voor het eerst opgemerkt en gerapporteerd in 2012-2013 en daarna nog eens opnieuw door iemand anders in 2015. 4 jaar lang niets mee gedaan, totdat de beveiligingsonderzoeker die bij HackerOne bakzeil bleef halen uiteindelijk de voorwaarden links liet liggen en het lek toch publiceerde; waarna Valve het lek in eerste instantie alsnog niet wilde dichten, maar het belangrijker achtte om gerechtelijk achter deze onderzoeker aan te gaan.

Even voor de duidelijkheid: Steam heeft dus zeer waarschijnlijk sinds het begin van haar bestaan een triviale rights-elevation vulnerability in zich gehad; heeft dit tenminste 7 jaar lang geweten; en toen de zaak groots aan het licht kwam weigerden ze initieel alsnog schuld te bekennen, het boetekleed aan te trekken en hun shit te fixen.

Dus ehm... nee?
Valve heeft er een reputatie van geen enkele fucky-duck te doen aan problemen, totdat ze publiekelijk bekend worden en tot schade aan dat oh-zo-zorgvuldige imago van de 'good-guy' binnen de games industrie kunnen leiden.

[Reactie gewijzigd door R4gnax op 19 april 2021 10:27]

De realiteit is toch anders (gelukkig). Maar de 'negatieve' zaken blijven vaak hangen, logischerwijze. Die H1-persoon was verbannen DOOR HackerOne omdat hij (de 'verkeerde') lekken publiekelijk publiceerde. Dan wordt het wel erg lastig om de juiste persoon te benaderen.

Sla er een willekeurige patchlog maar op na, de meeste bevindingen met "Thanks persoon X" zijn enkele uren/dagen eerder gemeld.

PS De optie voor Font Size is er gewoon. Settings - Library.
PS De optie voor Font Size is er gewoon. Settings - Library.
Bullshit.
Onder Settings - Library staat een instelling "Display size for Library user interface elements" - maar die is bepalend voor de breedte van de covers; niet voor de grootte v/h font.

Verder strekt dit 7 jaar oude verzoek iuteraard wat verder dan enkel de nieuwe Library interface die pas 2 jaar of zo bestaat, maar raakt het alle facetten van de client. Inclusief zaken zoals het settings paneel zelf, waar volgens jou deze optie - die dus niet bestaat - in zou moeten staan.

[Reactie gewijzigd door R4gnax op 19 april 2021 14:00]

Scale Text to Match monitor dan? Zou zweren dat de optie er is.
Scale Text to Match monitor dan? Zou zweren dat de optie er is.
Die optie past tekstgrootte aan aan de DPI scale van het OS en is bedoeld om met hi-DPI schermen te gebruiken zodat de tekst niet te klein gerenderd wordt. Die optie doet niets voor mensen voor wie de door Valve gekozen standaardgrootte van de tekst te klein is om zonder problemen te lezen. Die blijft gewoon te klein.

Daarnaast heeft de text-scaling optie in kwestie vziw al jarenlang problemen icm de ingebouwde text-scaling opties voor hi-DPI schermen van Windows10 zelf. Het advies is dan meestal: of de één; of de ander, maar niet allebei. (En aangezien de afhandeling op OS-niveau nodig is voor eigenlijk alle andere applicaties die niet een bijzonder sneeuwvlokje willen zijn...)

Mij bekruipt sterk het gevoel dat je niet weet waar je het over hebt. Het siert je dat je een lans wilt breken voor een partij waar je naar eigen zeggen mee samenwerkt, maar zorg dan wel dat je alles correct op een rijtje hebt.

[Reactie gewijzigd door R4gnax op 19 april 2021 15:25]

Ik snap je punt - ik gebruik dit zelf niet dus denk dat ik hem verkeerd begreep.

Er zit altijd een probleem in de interpretatie van een issue, legt de gebruiker het goed uit, snapt de ontvanger is, is hij/zij de juiste persoon en kan hij het op waarde schatten en bij de juiste partij laten doen belanden. Ironisch genoeg, precies zoals in dit topic fout gaat ;)

Ik scal 'opties om Steam client in zijn geheel te sizen' eens doorspelen naar de designer.

Ik vermoed dat dit issue, wat door niet heel vele mensen ervaren/gerapporteerd wordt, onder de radar is gevlogen.

PS Is een custom skin geen uitkomst hier?
PS Is een custom skin geen uitkomst hier?
Nooit ingedoken. Ik dacht ergens gelezen te hebben dat een aantal mensen hier wel hun toevlucht toe hadden genomen, maar dat het in de praktijk niet zo fantastisch werkte als gehoopt. Maar dat weet ik niet 100% zeker.

[Reactie gewijzigd door R4gnax op 19 april 2021 15:38]

Ik weet niet waar je dit op baseert, maar Valve staat al best lang niet erg goed bekend op dit vlak.

Zie ook nieuws: 'Steamclient kwetsbaar door bugs die Valve al twee jaar lang niet wil...

En nieuws: Valve dicht opnieuw zerodaylek in Steam en past regels voor bug bount...

En nieuws: Zeroday in Steam is openbaar gemaakt na onenigheid over bugbountyprog...

In het laatste geval kreeg de melder in eerste instantie zelfs een ban!
Je eerste artikel linkt naar de hier besproken bug.

Het tweede en derde artikel bevestigd juist dat ze er snel bij zijn met bugs. Of wil je beweren dat programma's altijd 100% bug vrij moeten zijn?

Ik heb het over hoe snel ze zaken fixen.

PS Daarnaast zijn er nu ook geen echte gevallen van gelekte klantdata of gestolen accounts (naast het Kerst geval van een leverancier) dus blijkbaar doen ze toch wel iets goed ;)
Natuurlijk zijn ze er snel bij, als het op straat ligt; want dan pas gaat het pijn doen.

Ik zeg nergens dat programma's altijd 100% bug vrij moeten zijn, dus ik snap niet helemaal hoe je dat interpreteert. ;)

Als je online rond zoekt lees je juist vrij veel over gestolen accounts / verdwenen items - ook van mensen die 2FA juist wel netjes aan hebben staan. Ik heb hier eerder ook vrienden over gehoord.
Valve geeft op dergelijke tickets geen gehoor, of shift de blame naar het gebruik van louche goksites / trading bots.
Ja, dat komt omdat mensen hun credentials invoeren op een look-alike site. Als je daar je 2FA code invoert, nogal wiedes dat je account dan gestolen wordt.

Dat Valve geen gehoor geeft aan tickets is ook onzin, waarschijnlijk zijn ze dan in de forums aan het posten of aan het mailen ofzo. Elk ticket wordt gewoon binnen 24u beantwoord, en de account in ere hersteld.

Ik zeg: Ze fixen zaken snel. Jij komt met 2 voorbeelden waar ze zaken inderdaad snel gefixt hebben, toen ze bij de juiste partij terecht kwamen - dus niet tegen gehouden door HackerOne. Ze kunnen moeilijk fixen waar ze geen weet van hebben, en dat er dit soort bugs inzitten voorkom je niet helemaal.

[Reactie gewijzigd door MatthiasL op 19 april 2021 10:36]

Ik heb een paar weken geleden nog zo'n scam-poging meegemaakt. Een vriend van mij vroeg of ik op zijn CSGO team wou stemmen. Die site vraagt om een steam-login, alleen is het een malafide site die op deze manier hoopt je steam login te verkrijgen. Ik log nooit in op sites die ik niet ken, en daardoor werkte die scam-poging op mij niet.

Lees meer erover hier en hier.

Zodra ze dan de inlog gegevens hebben van Steam gebruikers, loggen ze in als die gebruikers en benaderen ze zijn vrienden met dezelfde scam-poging, om zo mogelijk nog meer Steam accounts te verkrijgen. Waarschijnljik was dat ook met mijn vriend gebeurd, en die vriend heb ik nu gewoon weer terug. Zijn account was inderdaad tijdelijk overgenomen.

Mocht je een Steam-vriend hebben waarvan je verdenkt dat hij ook slachtoffer is van een overgenomen account, je kunt hier iets tegen doen om ook je vriend te helpen:
- Ga naar zijn profiel, daar heb je een uitklapmenu met de mogelijkheid: Report Player.
- Klik op 'They are involved in Theft, Scamming, fraud or other malicious activity'
- Klik op 'Their account seems to have been compromised'

Je kunt zo ook Steam-gebruikers blokkeren, of gebruikers doorgeven die misleidend/aggressief zijn ofzo.

[Reactie gewijzigd door Magic Power op 19 april 2021 11:59]

ik lag nog half te slapen als ik met mijn domme kop zoiets heb voorgehad. Zelfs bij ingeven van mijn 2way factor ging mijn belletje nog niet rinkelen. ik moet echt aan het slaapwandelen zijn geweest 8)7 8)7 8)7
Steam contact mee opgenomen en was binnen de 2u gefixed! Ook al kwam site van bekende youtuber en alles een gewoonte lijkt was hem mij bijna zelf overkomen. maar in mijn geval was steam er gelukkig snel bij! gelukkig maar!
geen gehoor? dat is niet mijn ervaring, binnen de werkdag heb ik meestal een antwoord.
Het eerste linkje gaat over hetzelfde als dit artikel.

De andere twee over hetzelfde incident waarbij Valve regels heeft gesteld waar ze niets mee doen (lees de HackerOne pagina maar eens). Valve heeft regels over wat wel en wat niet wordt behandeld betreft local privilege escalation, zelfs in de artikelen wordt aangegeven dat Valve na dat incident de regels duidelijker heeft gemaakt omdat iemand ze kennelijk niet goed interpreteerde, waardoor die hacker z'n bevindingen dus in de prullenbak gingen.

Deze vier artikelen gaan dus over twee incidenten (lekker melken dat nieuws!) waarvan, als je tussen de regels leest, beide wel eens niet het issue direct bij Valve zou kunnen liggen, maar mij HackerOne. Exact wat @MatthiasL aangeeft. Nu weet ik niet genoeg van de processen achter HackerOne en de processen naar Valve zelf toe (en heb zeker ook geen motivatie om dat uit te zoeken), wellicht kunnen tweakers die wel die kennis en ervaring hebben daar meer over zeggen.
In het vorige artikel van tweakers hierover werd aangegeven dat de onderzoeker meermaals contact heeft gezocht met Valve maar geen gehoor heeft gekregen. Als de onderzoeker zoals hier benoemd ook moeite heeft moeten doen om betaald te worden door Valve en dat dat dus ook gelukt is lijkt het me dat ze al minstens zo lang van de exploit bewust waren.
Wat ik van Valve en CS:GO heb geleerd is dat ze maar pas bepaalde dingen gaan fixen wanneer de community in z'n geheel begint te klagen. Zolang de community positief is ingesteld gaan ze voornamelijk verder met het bouwen van features die geld opleveren.
Zeg je nu dat ze dingen moeten veranderen die de community niet wilt? Tuurlijk bouwen ze pas dingen als de community 'klaagt' (suggesties doet), het spel is voornamelijk gebouwd op community input.
Nee echt totaal niet eigelijk. Niemand zit immers te wachten op meer skins, leuke maps die weggaan, dangerzone, f2p, etc etc. Maar daar steken ze hun tijd dus in als er geen "suggesties" gedaan worden.
Vind het best bizar, Steam wordt bijna dagelijks voorzien van updates, dat deze dan niet hoger op de lijst komt?
Er was blijkbaar geen team samen te stellen dat er zin in had.
Valve houdt dus graag zijn klep 8-)

Op dit item kan niet meer gereageerd worden.


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True