O Steam é, atualmente, a maior plataforma online de jogos. Com uma filosofia única, garante aos utilizadores o acesso a milhares de jogos em qualquer plataforma.
Com utilizadores dos mais diversos sistemas operativos, tem clientes dedicados para dar acesso aos jogos. A versão para Windows 10 deste cliente tem agora um problema de segurança. Esta é uma falha grave e que afeta 72 milhões de utilizadores.
Uma falha grave de segurança no Steam
No seguimento de muitas falhas já descobertas para o Windows 10, uma nova foi revelada para este sistema. Afeta o cliente do Steam, o que, na prática, deixa 72 milhões de utilizadores vulneráveis e expostos a ataques.
O investigador de segurança que o descobriu, Vasily Kravets, revelou que este está exclusivamente neste sistema. Na prática, a vulnerabilidade permite aos atacantes ficar com as mesmas permissões que o utilizador que corre o Steam, abrindo a porta a um leque variado de problemas.
This is my #ZeroDay #PublicDisclosure of a security vulnerability at Steam Windows client which allows a local privilege escalation. #0day
— Felix aka [xi-tauw] (@PsiDragon) 7 de agosto de 2019
Rus - https://t.co/W4VNdHIBCI
Eng - https://t.co/1ZDFzx3uxt
O cliente de jogos do Windows 10 está vulnerável
Estes podem ser tão simples como o roubo de dados ou mais complexos, envolvendo a instalação de malware e outro software malicioso. Dai em diante o sistema fica exposto e vulnerável. É uma porta que fica aberta para qualquer ataque mais complexo.
No seguimento da descoberta, o investigador alertou a Valve para a falha existente. Deu à empresa 45 dias para que resolvesse o problema e que lançasse uma correção para que fosse impossível de explorar.
Vulnerabilidade explicada
The vulnerability itself is very simple. Steam installs “Steam Client Service” service for some internal purposes. Let’s check SDDL (https://habr.com/ru/company/pm/blog/442662/) of the service:
O:SYG:SYD:(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;RPWP;;;BU)
Most interesting part is (A;;RPWP;;;BU). It means that any user from the group “Users” is permitted to Start and Stop the service.
Now we examine the service’s behavior at start. There is nearly nothing interesting in fact, but some registry operations look strange. Service enumerates subkeys of HKLM\Software\Wow6432Node\Valve\Steam\Apps and sets some security descriptions for each.
What is this security description about? I created test key HKLM\Software\Wow6432Node\Valve\Steam\Apps\test and restarted the service (Procmon’s log is above) and checked registry key permissions. Here I found that HKLM\SOFTWARE\Wow6432Node\Valve\Steam has explicit “Full control” for “Users” group, and these permissions inherit for all subkeys and their subkeys. I assumed that RegSetKeySecurity sets same rights, and something interesting would happen if there were a symlink. I created a link from HKLM\SOFTWARE\Wow6432Node\Valve\Steam\Apps\test to HKLM\SOFTWARE\test2 and restarted the service.
Steam’s service sets security descriptor for our target-key. Review SDDL for the key (non-interesting data is omitted):
(A;ID;KA;;;BU)(A;OICIIOID;GA;;;BU)
In other words, it means full (read and write) access to the key for all users. This is the security descriptor the service has set to the key.
So, now we have a primitive to take control on almost every key in the registry, and it is easy to convert it into a complete EoP (Escalation of Privileges). I choose key HKLM\SYSTEM\ControlSet001\Services\msiserver that corresponds with the service “Windows Installer”, which can be started by any user, same as Steam’s service, but run program as NT AUTHORITY\SYSTEM. After taking control, it is only necessary to change ImagePath value of the HKLM\SYSTEM\ControlSet001\Services\msiserver key and start “Windows Installer” service. The program from ImagePath will be started as NT AUTHORITY\SYSTEM.
Put all things together and we get exploit that allows running any program with the highest possible rights on any Windows computer with Steam installed.
A Valve não se manifestou sobre este problema
Uma vez que não existiu qualquer resposta da empresa, o investigador resolveu revelar ao mundo a falha. Este passo deixou os utilizadores expostos, uma vez que a falha pode agora ser explorada por qualquer atacante.
Com 72 milhões de utilizadores do Windows 10 a usar o Steam, é uma falha grave que fica exposta. Não se conhece até agora uma forma de ser corrigida e, por isso, deverá em breve ser tratada. É estranho o silêncio da empresa, mas deverá ser investigado e resolvido em breve.