Hacker afslører tredje gabende hul i Steam på en måned
Efter to måneder, hvor Steam nægtede at udbetale hackeren Vasily Kravet en bounty for en alvorlig sikkerhedsfejl, har Steam endelig patchet hullet. Nu har den samme hacker fundet og offentliggjort endnu en sårbarhed, og dermed kan Steam prale af i alt tre alvorlige sårbarheder på tre måneder.
Én af dem er patchet i skrivende stund.
Version2 har selv efterprøvet Steams påstand om, at det første af de tre huller ikke stod åbent. Det tog kun få minutter at eskalere vore rettigheder uden at trigge så meget som en enkelt advarsel fra antivirus eller Windows. Du kan se demonstrations-videoen i bunden af artiklen.
Selvom Steam endte med at lukke hullet, blev Vasily Kravets i den forbindelse udelukket fra Steams Bug Bounty-program, og det er derfor, hackeren nu igen har set sig nødsaget til at dumpe endnu en sikkerhedsbrist på internettet. Det skriver The Register.
Fuldstændig som ved den første sårbarhed kræver angrebet lokal skriveadgang. Dette kan opnås gennem en mod på steam eller ved en klassisk malwarefyldt mail. Michael Bisbjerg, der er sikkerhedskonsulent hos Agile Response Technologies har tidligere fortalt Version2, at denne del af angrebet er simpel.
»Det sker hele tiden. Det svære er hurtigt og nemt at eskalere sine rettigheder, når man er inde. Og det sørger Steam for i det her tilfælde,« sagde Michael Bisbjerg om den oprindelige sårbarhed, der bygger på samme grundlæggende problem i Steam som denne nyeste, tredje sårbarhed.
Herefter kan angriberen opskalere sine rettigheder, og det åbner op for ethvert tænkeligt hackerangreb.
»Hvis den her type angreb lykkes, kan man installere keyloggers, der optager indtastninger på computeren, man kan installere browser-addons, der overvåger personer, der bruger computeren på nettet, eller man kan bruge computeren til at inficere andre computere på netværket,« sagde Michael Bisbjerg om den første sårbarhed, hvis konsekvenser var de samme.
Siger undskyld
Valve undskylder da også over for Vasily Kravets. Ars Technica beskriver, at Valve overvejer, hvordan man kan ændre betingelserne for selskabets bug bounty-program, så denne type angreb fremover vil være omfattet.
Ikke desto mindre er der altså intet der tyder på, at Vasily Kravets kan se frem til nogen belønning for hans fund. Det på trods af, at den danske sikkerhedskonsulent Keld Norman fra Dubex vurderede, at den første sårbarhed alene kunne være op til 1,3 millioner kroner værd, hvis han havde solgt den til eksempelvis Zerodium.
Ars technica skriver dog, at undskyldningen klinger hult og henviser i den forbindelse til, at Valve, der laver Steam, blev informeret om sikkerhedsbristen flere måneder inden Vasily Kravets offentliggjorde det. Han blev også afvist, men det understreger, at Valve har kendt til sikkerhedshullet længe.
Uden at lukke det, før Reddit og pressen pressede på.
