Nieuws
image

Steam laat aanvallers rechten op Windows verhogen

vrijdag 11 juli 2014, 11:48 door Redactie, 11 reacties

Het online speldistributieplatform Steam, dat meer dan 75 miljoen gebruikers heeft, maakt het mogelijk voor aanvallers om hun rechten op Windows te verhogen. Dat ontdekte beveiligingsonderzoeker Luigi Auriemma. Het gaat volgens de onderzoeker niet om een beveiligingslek, maar een ontwerpprobleem.

Op Windows installeert Steam de Steam Client Service, die over SYSTEM-rechten beschikt en automatisch wordt gestart als Windows is geladen. Om de Steam Client Service te starten wordt er een specifiek DLL-bestand genaamd steamservice.dll geladen. Dit DLL-bestand is echter afhankelijk van andere DLL-bestanden in de Steam-map. Auriemma ontdekte dat deze DLL-bestanden niet worden geverifieerd.

Een aanvaller die al toegang tot het systeem heeft kan hierdoor een kwaadaardig DLL-bestand in de map plaatsen, dat vervolgens met SYSTEM-rechten zal worden uitgevoerd, waarna ook de aanvaller deze rechten heeft. Het maakt daarbij niet uit of het Steam-platform zelf wordt gestart, aangezien de Steam Client Service standaard in de achtergrond draait.

Toepassing

Zoals gezegd moet een aanvaller al toegang tot de computer hebben. Gebruikers wordt echter altijd aangeraden om met verminderde rechten in te loggen, wat de impact van malware kan verkleinen. Het nu ontdekte probleem is volgens Auriemma dan ook een eenvoudige manier om de rechten op de computer, zonder gebruik van een bepaald beveiligingslek of complexe exploit, te verhogen. Vervolgens heeft de malware volledige toegang tot het Windows Register en kan het zichzelf op de harde schijf verbergen en aanwezige beveiligingssoftware uitschakelen.

Volgens Auriemma is het gebruik van Steam door malware, gezien de populariteit van het platform, dan ook "zeer interessant". Opmerkelijk genoeg heeft de onderzoeker Steam-ontwikkelaar Valve niet over het probleem ingelicht. Het probleem is dan ook nog steeds aanwezig. Auriemma geeft geen advies welke maatregelen Steam-gebruikers kunnen nemen om zich te beschermen.

Naast de publicatie van dit probleem in Steam maakte Auriemma een lek in het VoIP-framework van Steamworks openbaar, dat hij wel eerst aan Valve rapporteerde en inmiddels ook is gepatcht. Via het lek was het mogelijk om op afstand spellen te laten crashen en in theorie ook willekeurige code uit te voeren.

Reacties (11)
11-07-2014, 11:58 door Anoniem
Waarom wordt dat ding met die rechten uitgevoerd?
11-07-2014, 12:22 door Anoniem
Een "local service" wordt standard onder het "local system" account gestart, daarmee krijgt het ook die rechten.
Windows heeft in tegenstelling tot Unix (enkel root) meerdere system accounts om nog iets van scheiding aan te brengen.
Het "local system"

Beter zou zijn een account voor een "local service" te gebruiken toegesneden op de minimale rechten vereiste rechten.
Dat betekent dat er users en groep(en) voor gedefinieerd moeten worden. Iets meer werk dan enkel setup laten tikken.
Dat zou ook een veel betere aanpak voor services/middleware op Unix zijn. Daar is het gebruik van root voor alles nog vrij sterk omdat apart accounts en groepen beheren zo moeilijk is (denkt men). Sudo is het enige wat goed bekend is.
11-07-2014, 13:20 door Anoniem
Door Anoniem: Waarom wordt dat ding met die rechten uitgevoerd?
Steam wordt automatisch geüpdated, zonder dat daarbij een UAC elevation nodig is.
Daarnaast wordt dit ook gebruikt om spellen te installeren en te updaten.
11-07-2014, 14:12 door Anoniem
Door Anoniem: Een "local service" wordt standard onder het "local system" account gestart, daarmee krijgt het ook die rechten.
Windows heeft in tegenstelling tot Unix (enkel root) meerdere system accounts om nog iets van scheiding aan te brengen.

Klopt, onder UNIX probeer je zo min mogelijk services met systeemprivileges te laten draaien en worden er voor de individuele services aparte accounts aangemaakt met op de betreffende service toegespitste privileges. Daarnaast kun je gebruik maken van Mandatory Access Control waardoor privileges ook nog eens per proces/context geregeld worden.
11-07-2014, 14:13 door Anoniem
Wat voor rechten moet je hebben om een dll daar te plaatsen?
11-07-2014, 14:28 door Anoniem
Opmerkelijk genoeg heeft de onderzoeker Steam-ontwikkelaar Valve niet over het probleem ingelicht. Het probleem is dan ook nog steeds aanwezig. Auriemma geeft geen advies welke maatregelen Steam-gebruikers kunnen nemen om zich te beschermen.
Lekker dan, maar hij geeft wel advies aan hackers wat een leuke plek is om te misbruiken.
11-07-2014, 15:06 door Anoniem
Wat zou hij dan willen? Je zou een script kunnen maken die de service start/stopt gelijk met steam maar dat heeft weinig zin als je een groot steam gebruiker bent. Het enige wat er kan gebeuren is dat valve de dll's gaat valideren. Een dergelijke service gaat niet zo snel verdwijnen.
11-07-2014, 15:07 door wallum
Het maakt daarbij niet uit of het Steam-platform zelf wordt gestart, aangezien de Steam Client Service standaard in de achtergrond draait.
Standaard start Steam als Windows opstart. Maar als je dat vinkje uitzet, start ook de Steam Client Service pas op als je Steam opent (bij mij althans).
11-07-2014, 15:53 door Anoniem
Steam kan je perfect niet mee laten opstarten met Win.

En als je geen gebruik wil maken van alle mogelijke diensten van Steam, vrienden, boodschappen, meldingen zet je dat ook gewoon uit.

Externe toegang en hulp op afstand uitschakelen in Win misschien?
11-07-2014, 16:51 door Eric-Jan H te D
De aanvaller heeft al toegang!!!

Kom op zeg, dan is toch in principe alles mogelijk.
12-07-2014, 02:17 door Anoniem
Ik zal die UAC ook uitzetten gebruik je ook nergens voor.

System Harden Windows (7)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search