Valve tøvede i ugevis med at fikse sikkerhedshul: Windows kunne overtages via mods

Illustration: Valve
Sikkerhedsbrist i den udbredte spil-platform Steam blev først anerkendt efter flere måneder. Ifølge eksperter er platformen nu sårbar overfor nyt angreb via samme teknik som den oprindelige sårbarhed.

Efter måneders tovtrækkeri har Valve, der står bag verdens største spilplatform, Steam, langt om længe erkendt og lukket en alvorlig sårbarhed.

Sikkerhedshullet satte i mindst to måneder alle platformens mere end 86 millioner aktive Windows-brugeres digitale sikkerhed over styr ved at tillade angriberen at opgradere sine rettigheder på maskinen.

Valve blev advaret, men tøvede i ugevis med at lukke hullet, og derudover gør måden, Steam er skruet sammen på, at et lignende angreb stadig kan lade sig gøre.

Denne type angreb eskalerer rettighederne for skadelig software, og dette konkrete angreb kan endda lade sig gøre, selv om Steam ikke engang kører - programmet skal bare være installeret.

Siden Valve i første omgang ikke ville erkende den første sårbarhed, bad Version2 Michael Bisbjerg, der er seniorudvikler hos sikkerhedsfirmaet Agile Response Technologies, om at lave et proof of concept. Du kan se demonstrationen i bunden af artiklen eller læse om den her.

Læs også: Sådan hackede Version2 Steam: »Man kan lige hvad man vil på maskinen«

I løbet af få minutter lykkedes det udvikleren at genskabe sikkerhedshullet, som oprindeligt blev offentliggjort og beskrevet af den russiske sikkerhedsforsker Vasily Kravet.

»Hvis den her type angreb lykkes, kan man installere keyloggers, der optager indtastninger på computeren, man kan installere browser-addons, der overvåger personer, der bruger computeren på nettet, eller man kan bruge computeren til at inficere andre computere på netværket,« siger Michael Bisbjerg.

»Man kan gøre lige, hvad der passer én, og endda relativt nemt få kernel-rettigheder, altså adgang til selve styresystemet,« uddyber han. Angrebet beror på en såkaldt escalation of rights-sårbarhed, der tillader brugere fra laveste adgangsniveau at tiltvinge sig adgang til alt andet på maskinen.

Angrebet kan blandt andet ske gennem nogle af de mange mods, der distribueres til de hundredvis af spil på Steam, men kan også startes med en hvilken som helst anden, eksekverbar fil fra for eksempel en mail-vedhæftning.

Modsne er interessante, fordi de distribueres i et miljø, folk ukritisk henter indhold fra. Og hvis mods distribueres gennem Steam - som det ofte er tilfældet - ved en angriber, at offeret har Steam og dermed et sårbart system.

»Jeg gør det selv, når jeg henter et nyt spil. Jeg klikker bare, skal have dét, dét og dét mod, og så starter jeg spillet,« siger Michael Bisbjerg.

Mods er gratis, alle kan lave dem, og alle kan hente dem. Ingen advarselsbokse popper op, når du henter og kører et mod.

Nægtede at lukke hul

Valve blev oprindeligt informeret om sikkerhedsproblemet gennem selskabet HackerOne, der varetager henvendelser om sikkerhedsbrud i Steam.

Det var den russiske sikkerhedskonsulent Vasily Kravits, der fandt hullet, og allerede den 15. juni indrapporterede han det til HackerOne, der håndterer sikkerhedsbrister for Steam.

Men her blev problematikken syltet i næsten to måneder. HackerOne kunne ikke reproducere fejlen i første omgang, og da det endelig lykkedes, afviste Steam at anerkende sårbarheden, idet den ‘kræver, at angriberne lægger en fil på computeren’.

Derfor gik næsten to måneder, hvor Valve, med åbne øjne, valgte ikke at lukke hullet. Valve ønsker ikke at stille op til interview med Version2.

Ifølge Michael Bisbjerg kan den lange reaktionstid fra Valve skyldes en misforståelse af problemet.

»Det er en gang fis. Steam misforstår i så fald, at hele problemet er, at man med brugerrettigheder kan udnytte steam-features til at eskalere angreb hurtigt og nemt,« siger Michael Bisbjerg, som efter et hurtigt kig på Vasily Kravets guide over for Version2 var i stand til at gentage angrebet flere gange på få minutter.

Selve det at starte angrebet med en inficeret fil er i sig selv ikke svært, forklarer han.

»Det sker hele tiden. Det svære er hurtigt og nemt at eskalere sine rettigheder, når man er inde. Og det sørger Steam for i det her tilfælde,« siger Michael Bisbjerg.

Frustreret whistleblower

Hele forløbet med HackerOne frustrerer tydeligt Vasily Kravets. Han forklarer til Version2, hvordan han føler, sagen er blevet henlagt.

»Jeg er virkelig skuffet. Jeg er faktisk glad for Steam som produkt, men den her opførsel er ikke almindelig, når der er tale om så store sikkerhedsproblemer,« skriver han i en mail til Version2.

Michael Bisbjerg forstår russerens frustration.

»Jeg kan godt forstå, han er frustreret. Han sidder med et miljø, han nemt kan overtage med en sårbarhed. Han laver en guide, der nemt kan følges, og så får han de der mærkelige svar fra HackerOne,« siger Bisbjerg.

Ifølge Zerondium, som er en børs for sårbarheder, kan en sårbarhed som denne, der kan eskalere rettigheder på Windows, efter at man kører en fil, være op mod 1,2 millioner kroner (200.000 USD) værd.

I Reddit-tråden, hvor sårbarheden blev offentliggjort, er der flere andre sikkerhedsfolk, der har udtrykt forståelse for Vasily Kravets, og som nikker genkendende til historien om en langsom platform, der i værste fald gør, at sikkerhedshuller lukkes for langsomt.

13. august udsendte Valve en patch til sårbarheden, der oprindeligt blev forsøgt rapporteret til virksomheden 15. juni. Illustration: Screenshot

HackerOne har ikke ønsket at stille op til interview, men har oplyst i en mail til Version2, at »man har genåbnet sagen i samarbejde med Valve«.

I sidste uge dukkede der så en opdatering op fra Valve, der er rettet mod at lukke det konkrete hul i Steam, som Vasily Kravet påpegede for flere måneder siden.

Hurtig lappeløsning

Trods rettelsen så består selve grundproblemet i, at Steam har en indbygget funktion, der tillader programmet at køre med admin-rettigheder.

Der gik da heller ikke mere end to dage efter patchen til Steam, før en ny hacker ved navn Xiaoyin Liu fandt en ny måde at udnytte Steams rettigheds-struktur på.

Muligheden for at eskalere rettigheder gennem Steam er derfor stadig en realitet hos de 86 millioner aktive Windows-brugere af Steam.

Siden Steam blot skal være installeret på et system, for at sårbarheden kan udnyttes, er antallet af sårbare enheder sandsynligvis langt højere. I alt har Steam omkring én milliard brugerkonti.

Giver god brugeroplevelse

Men hvorfor har Steam denne yderst problematiske feature, som giver applikationen lov til at agere med admin-rettigheder uden at spørge brugeren? Sandsynligvis fordi den tillader spil og Steam selv at opdatere sig selv uden at spørge brugeren. Og det er denne prioritering af convenience, der er problemet.

»Valve har sandsynligvis gjort det her for at skabe en god brugeroplevelse, hvor brugeren ikke hele tiden skal spørges om lov for at sikre skriveadgang, der skal til, for at spillene kan køre optimalt,« siger Michael Bisbjerg.

»Som sikkerhedsmand synes jeg, det er en forkert tilgang, som altid vil give en eller anden form for problemer. Det er et workaround rundt om de sikkerhedsforanstaltninger, der er i Windows,« siger sikkerhedskonsulenten, der ikke kan skjule sin fascination.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Sune Marcher

Jeg synes umiddelbart at folk blæser det her en smule op.

Ja, local privilege escalation er skidt, og det er en bug der skal fixes – og valves ageren i sagen (specielt at de bannede Vasily Kravits fra at indrapportere bugs via H1!) er virkeligt dårlig stil.

Men privilege escalation kræver code execution. Hvis der først kører kode på maskinen er du basically fucked... man behøver ikke andet end normale user rights for at lave cryptolocker malware, joine et botnet, eller sprede malware videre over inter- eller lokalnet. Og jeg ville slet ikke burne en 0day privesc på noget designet til masse-infektion, da den ville blive opdaget og patchet for hurtigt.

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize