Onderzoekers: Steam-URL-protocol kan misbruikt worden om gamekwetsbaarheden te exploiteren

Steam is een populair platform voor digitale distributie en digital rights management voor games en sinds eerder deze maand andere softwareproducten. Volgens Valve Corporation, het bedrijf dat het platform heeft ontwikkeld en beheert, biedt Steam meer dan 2000 titels en heeft het meer dan 40 miljoen actieve accounts.

De Steam-client kan op Windows, Mac OS X en Linux worden uitgevoerd, hoewel alleen als bètaversie in het laatste besturingssysteem.

[Meer informatie: hoe u malware van uw Windows-pc verwijdert]

Wanneer de Steam-client op een systeem is geïnstalleerd, wordt deze geregistreerd als een steam: // URL-protocolhandler. Dit betekent dat elke keer dat een gebruiker klikt op een steam: // URL in een browser of een andere applicatie, de URL wordt doorgegeven aan de Steam-client voor uitvoering.

Steam: // URL's kunnen Steam-protocolopdrachten bevatten om te installeren of verwijder games, update games, start games met bepaalde parameters, maak back-upbestanden of voer andere ondersteunde acties uit.

Aanvallers kunnen deze opdrachten misbruiken om op afstand zwakke plekken in de Steam-client of de Steam-games op een systeem te misbruiken door gebruikers te misleiden vervaardigde stoom: // URL's, ReVuln-beveiligingsonderzoekers en oprichters Luigi Auriemma en Donato Ferrante zeiden in onderzoeksdocument gepubliceerd op maandag.

Het probleem is dat sommige browsers en applicaties automatisch stoom doorgeven: // URL's naar de Steam-client zonder te vragen naar bevestiging van gebruikers, aldus de onderzoekers. Andere browsers vragen om bevestiging van de gebruiker, maar geven niet de volledige URL's weer of waarschuwen niet over de gevaren van het toestaan ​​van dergelijke URL's.

Volgens tests uitgevoerd door de ReVuln-onderzoekers, geven Internet Explorer 9, Google Chrome en Opera waarschuwingen weer en de volledige of gedeeltelijke steam: // URL's voordat ze worden doorgegeven aan de Steam-client voor uitvoering. Firefox vraagt ​​ook om een ​​gebruikersbevestiging, maar geeft de URL niet weer en geeft geen waarschuwing, terwijl Safari automatisch steam: // URL's uitvoert zonder bevestiging van de gebruiker, aldus de onderzoekers.

"Alle browsers die externe URL-handlers rechtstreeks uitvoeren zonder waarschuwingen en die op basis van de Mozilla-engine (zoals Firefox en SeaMonkey) zijn een perfecte vector om stille Steam Browser Protocol-oproepen uit te voeren, "aldus de onderzoekers. "Bovendien is het voor browsers zoals Internet Explorer en Opera nog steeds mogelijk om te verhinderen dat het onbetrouwbare deel van de URL in het waarschuwingsbericht wordt weergegeven door verschillende spaties toe te voegen aan de steam: // URL zelf."

Afgezien van gebruikers tricking handmatig klik op rogue steam: // URL's, aanvallers kunnen JavaScript-code gebruiken die is geladen op kwaadwillende pagina's om browsers naar dergelijke URL's om te leiden, zei Luigi Auriemma dinsdag via e-mail.

Browsers waarvoor gebruikersbevestiging voor steam nodig is: // URL-uitvoering is meestal standaard gebruikers de mogelijkheid bieden om dit gedrag te veranderen en de URL's automatisch door de Steam-client laten uitvoeren, zei Auriemma. "Het is zeer goed mogelijk dat veel gamers de steam: // -koppelingen al direct in de browser hebben uitgevoerd om te voorkomen dat ze de hele tijd worden bevestigd."

Een schermafdruk van de proof-of-concept-video gemaakt door ReVuln die laat zien hoe aanvallers misbruik kunnen maken van de manier waarop browsers en andere applicaties omgaan met streamen: // protocol-URL's

De onderzoekers hebben een video vrijgegeven waarin ze demonstreren hoe steam: // -URL's kunnen worden gebruikt om op afstand bepaalde kwetsbaarheden te misbruiken die ze in de Steam-client vonden en populaire games.

Bijvoorbeeld, de "retailinstall" -opdracht van het Steam-protocol kan worden gebruikt om een ​​verkeerd ingedeeld TGA-splash image-bestand te laden dat een kwetsbaarheid in de Steam-client gebruikt om kwaadwillige code uit te voeren in de context van het proces, aldus de onderzoekers.

In een ander voorbeeld kan een steam: // URL worden gebruikt om legitieme commando's uit te voeren in de Source-game-engine van Valve om een ​​.bat-bestand te schrijven met door aanvallers gecontroleerde content in de opstartmap van Windows. Bestanden in de opstartmap van Windows worden automatisch uitgevoerd wanneer gebruikers inloggen.

De brongame-engine wordt gebruikt in veel populaire spellen, zoals Half-Life, Counter-strike en Team Fortress met tientallen miljoenen spelers.

Een andere populaire game-engine genaamd Unreal ondersteunt het laden van bestanden van externe WebDAV of SMB gedeelde mappen via opdrachtregelparameters. Een rogue steam: // URL kan worden gebruikt om een ​​kwaadaardig bestand te laden vanaf een dergelijke locatie die misbruik maakt van een van de vele integer overflow-kwetsbaarheden in de game-engine om kwaadwillende code uit te voeren, aldus de onderzoekers van ReVuln.

De auto-update functies gevonden in sommige games zoals APB Reloaded of MicroVolts kunnen ook worden misbruikt via steam: // URL's om bestanden te maken met door aanvallers gecontroleerde content op de schijf.

Om zichzelf te beschermen, kunnen gebruikers het steam: // URL-protocol uitschakelen handler handmatig of met een gespecialiseerde toepassing, of kan een browser gebruiken die niet automatisch steam: // URL's uitvoert, zei Auriemma. "Het nadeel is dat de gamers die deze links lokaal gebruiken (snelkoppelingen) of online (webbrowser) om zich bij servers aan te sluiten of andere functies van dit protocol gebruiken, deze niet kunnen gebruiken."

Omdat Safari een van de browsers is die voert automatisch stoom uit: // URL's, Mac OS X-gebruikers, die het grootste deel van het gebruikersbestand van de browser vertegenwoordigen, kunnen meer worden blootgesteld aan dergelijke aanvallen. "Mac OS is het secundaire platform dat op Steam wordt gebruikt en er zijn veel games beschikbaar voor dit platform, dus het heeft een breed gebruikersbestand", zei Auriemma.

"Naar onze mening moet Valve het doorgeven van parameters van de opdrachtregel naar games verwijderen, omdat het is te gevaarlijk en ze kunnen niet bepalen hoe deze software van derden kan werken met misvormde parameters, "zei de onderzoeker.

Valve heeft niet onmiddellijk een verzoek om commentaar teruggestuurd.

Eerder deze maand begon Valve met het distribueren van niet-geselecteerde parameters -spel softwaretitels via Steam. Kwetsbaarheden die in dergelijke toepassingen worden aangetroffen, kunnen ook worden misbruikt via steam: // URL's, zei Auriemma.

"De afgelopen maanden heeft Valve veel geïnvesteerd in het Steam-platform met de bètaversie van Steam voor Linux, waarbij de GreenLight-service werd toegevoegd aan gebruikers kan stemmen welke games ze graag zouden zien op Steam, de Software-sectie toevoegen, meer games en een aantal gemarkeerde games toevoegen die volledig beschikbaar zijn voor beperkte tijd, tonnen gratis te spelen games en nog veel meer, "aldus de onderzoeker. "Er was geen beter moment om deze problemen op te merken dan nu."