Sådan hackede Version2 Steam: »Man kan lige hvad man vil på maskinen«

Illustration: Screendump
Angrebet er simpelt og tager længere tid at forklare end at udføre.

Som Version2 i dag beskriver, har Steam været sårbar i mindst to måneder over for et angreb, der tillader angriberen at eskalere sine rettigheder på brugerens computer med ganske få kommandoer.

Steam har været langsomme til at anerkende og lukke hullet og har endnu ikke løst det grundlæggende problem, at Steam kan bruges til rettighedseskalering.

For at illustrere, hvor nemt angrebet er, har Version2 bedt Michael Bisbjerg, der er seniorudvikler hos Agile Response Technologies om at lave en proof of concept, der kan ses i bunden af denne artikel.

Resultatet var rystende, for efter kun fem minutter virker angrebet. Det ville kunne gøres endnu hurtigere, hvis det ikke var for alle mine spørgsmål, eller hvis han havde øvet sig på angrebet.

Et lille fejltrin

Angrebet starter med en menneskelig fejl. Det behøver ikke være en stor én, men brugeren skal køre en eksekverbar fil. I spiluniverset kan det være et mod lavet af en anden bruger, som tilføjer indhold til dit spil.

De er gratis, alle kan lave dem, og alle kan hente dem. Ingen advarselsbokse popper op, når du henter og kører et mod.

Alternativt kan du falde i en mere traditionel fælde: En malwareinficeret vedhæftning i en mail, et hvilket som helst program, du kan hente fra nettet, kan indeholde den korte kodestreng, der udnytter hullet.

Og så er din enhed på kollisionskurs.

»Hvis den her type angreb lykkes, kan man installere keyloggers, der optager indtastninger på computeren; man kan installere browser-addons, der overvåger personer, der bruger computeren på nettet, eller man kan bruge computeren til at inficere andre computere på netværket,« siger Michael Bisbjerg.

»Man kan gøre lige, hvad der passer én, og endda relativt nemt få kernel-rettigheder, altså adgang til selve styresystemet,« uddyber han. Angrebet beror på en såkaldt escalation of rights-sårbarhed, der tillader brugere fra laveste adgangsniveau at tiltvinge sig adgang til alt andet på maskinen.

Overtager Client Service

Ved at misbruge en funktion i Steam kan den eksekverbare fil overtage kontrollen med en af Steams såkaldte services, et lille underprogram til Steam.

Også selvom det malwareinficerede program kun kører med brugeradgang, der normalt ikke giver programmet særligt store beføjelser på computeren.

Hver gang Steam Client Service starter, sikrer den, at brugeren har skriverettighed til en række Steam-nøgler. Derfor kan angriberen snyde Steam Client Service til at sætte skriverettigheder på enhver registreringsnøgle.

Det interessante i denne forbindelse er, at hvis man ændrer en af registreringsnøglerne til et link til et andet sted i Windows, så følger Windows linket.

»Hvis man kan ændre i registreringsdatabasen, kan man ændre på rigtig mange systemting, og der er derfor ingen grænser for, hvad du kan gøre. Fra boot-options til startprogrammer. Registreringsdatabasen er supervigtig,« siger Michael Bisbjerg.

Dermed har angriberen med sin kontrol over Steams eget lille supervåben tiltvunget sig større rettigheder.

Servicen er sandsynligvis sat i verden for at tillade Steam og de mange spil, man kan hente gennem platformen, at opdatere sig selv uden at spørge brugeren om lov hver gang. Belejligt, men en sikkerhedsmæssig katastrofe.

»Jeg ville jo mene som sikkerhedsmand mene, at man skal spørge brugeren, hver gang man ændrer noget. Det her er en workaround og dermed et sikkerhedsbrud,« siger Michael Bisbjerg.

Angrebet eskaleres

Når angriberen, der indtil nu kun har haft brugeradgang, får adgang til servicen, kan vedkommende køre ethvert program eller fil med administratoradgang. I vores demonstrationsvideo i bunden af artiklen kørte vi CMD, men det kan være hvad som helst, der er slutmålet.

Det vel at mærke fuldstændig uden at være nødt til at spørge brugeren om lov med et pop-op-vindue, som det normalt er tilfældet i Windows.

Dermed er angriberens muligheder for at infiltrere, overvåge eller ødelægge systemet nærmest uendelige. Angriberen er samtidig helt usynlig.

»Det her ser ingen firewalls eller antivirus-systemer. For alt er helt legitimt ifølge Windows,« siger Michael Bisbjerg.

»Det er utroligt belejligt at bruge Steam Client Service til at angribe med, for de starter så latterligt hurtigt op modsat nogle andre services,« griner Michael Bisbjerg.

Valve, der udgiver Steam, har ikke ønsket at stille op til interview med Version2.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere