Steam 0 day漏洞影響超1億用戶

新聞 08-12

Steam平台是目前最火的遊戲平台，steam有超過1億的註冊用戶，有上百萬用戶同時參與遊戲。研究人員在Steam遊戲Windows客戶端中發現一個0 day許可權提升漏洞，利用該漏洞低許可權的攻擊者可以以administrator運行程序。鑒於Steam平台的用戶量，該0 day漏洞會帶來巨大的潛在威脅。

0 day許可權提升漏洞

在Steam平台的開發者Valve Software（維爾福軟體公司）認為該漏洞不適用（Not Applicable）後，2個研究人員公開了該Steam平台的0 day漏洞。Valve不但沒有對該漏洞進行獎勵，也沒有提示說要修復該漏洞，還去告訴研究人員不要泄露該漏洞。

安全研究人員Felix 分析了與Steam相關的Windows服務Steam Client Service，該服務是用來在Windows中以SYSTEM許可權啟動可執行文件的。研究人員注意到該服務可以由User組用戶啟動和停止，也就是說登陸計算機的所有用戶都有這個許可權。

User組用戶沒有該服務註冊表的寫許可權，因此無法修改註冊表來啟動其他的可執行文件或提升許可權到管理員。但研究人員發現該服務啟動或暫停時，會有HKLM\Software\Wow6432Node\Valve\Steam\Apps Registry key子鍵的完全寫許可權。

研究人員創建了test key HKLM\Software\Wow6432Node\Valve\Steam\Apps\test，並重啟了該服務，然後檢查了註冊表key許可權。發現Users組有HKLM\SOFTWARE\Wow6432Node\Valve\Steam的Full control許可權，所有的subkey以及subkey的subkey都可以繼承這些許可權。研究人員假設RegSetKeySecurity設置了相同的許可權，如果是符號鏈接的話會發生什麼呢？研究人員從HKLM\SOFTWARE\Wow6432Node\Valve\Steam\Apps\test to HKLM\SOFTWARE\test2創建了一個鏈接，並重啟該服務。然後嘗試從沒有足夠許可權的subkey來配置符號鏈接，發現是可以修改key值的。

基於以上嘗試，研究人員意識到可以通過在HKLM\Software\Wow6432Node\Valve\Steam\Apps下的subkey在創建符號鏈接來修改註冊表key。

因此，利用該漏洞可以修改以SYSTEM許可權運行的服務來啟動其他程序。

PoC

研究人員Matt Nelson創建了濫用該漏洞的PoC代碼。

Nelson的PoC創建了到HKLM:\SYSTEM\CurrentControlSet\Services\Steam Client Service的符號鏈接，當服務重啟時可以修改要啟動的可執行文件。

這是通過在後台啟動Administrative許可權的Windows命令提示符來實現的，如下圖所示：