Encontrada vulnerabilidad en Steam que permite escalar privilegios y Valve la ignora

thrazz

RPV:

  • Bounty hunter encuentra una vulnerabilidad en Steam que permite escalar privilegios en Windows.

  • La envía a HackerOne para avisar a Valve y que puedan parchearla antes de publicarla.

  • HackerOne la rechaza inicialmente, luego la deja pasar para que llegue a Valve y al cabo de unas semanas se rechaza.

  • El bounty hunter se cabrea y publica los detalles en su blog con varias perlas:

    I have been searching for vulnerabilities for a number of years and I thought I have seen a lot, but there is a part of work that I cannot understand and cannot accept. This is the absolute vendors’ unwillingness to accept information about vulnerabilities and problems. I understand that it is very unpleasant when someone directly shows you that you made a mistake and, most likely, not one. It is difficult to confirm in public sources that there were problems, that the staff did something wrong. However, I don’t understand why a vulnerability report rejected.


    Well, I want to talk about Steam by Valve Software.

    I reported this vulnerability to the Valve via HackerOne.


    Here first unexpected obstacle happened – before Valve I had to pass HackerOne’s staff review (because Valve use «Managed by HackerOne» feature on H1). I thought it is easy. How something could went wrong, if I provided a text description and a PoC as an executable file, which spawned an interactive command line console as NT AUTHORITY\SYSTEM? Therefore, I got “not applicable” with cause «Attacks that require the ability to drop files in arbitrary locations on the user's filesystem». I was like “Are you serious? There is no even a single file operation!”.

    I wrote some comments and other H1 member tried to reproduce my steps. After some conversations, he confirmed the report and sent it to the Valve security team. Hooray! Mission accomplished. Or not…?

    Some weeks later, another (third) H1 member marked report as “N\A”. Now there were two causes: «Attacks that require the ability to drop files in arbitrary locations on the user's filesystem» and «Attacks that require physical access to the user’s device». Here I realized that Valve has no interest in EoP vulnerabilities.

    45 days have gone since the initial report, so I want to publicly disclose the vulnerability. I hope this will bring Steam developers to make some security improvements.

    I am very disappointed. Big serious company speaks pathos words about security importance and, at the same time, makes your computer defenseless. In fact, Steam allows to grant high privileges for every program you run.

    It is rather ironic that a launcher, which is actually designed to run third-party programs on your computer, allows them to silently get a maximum of privileges. Are you sure that a free game made of garbage by an unknown developer will behave honestly? Do you believe that for a 90% discount you will not get a hidden miner? Of course, some of the threats will remain even being run without administrator rights. However, the high rights of malicious programs can significantly increase risks - programs could disable antivirus, use deep and dark places to hide and change almost any file of any user, even stole private data.

    Due to the popularity of Steam, there is a big amount of potential victims. In 2015, Valve reported that there were 125 million active accounts on Steam. Yes, not all Steam users have Windows as OS, but most of them do. Some users have multiple "live" accounts on single machine, however, the scale of the problem is still impressive.

    Oh... What if there is no coincidence and the behavior is insecure by design? What if the Steam is a kind of legal backdoor? It is impossible to convict Valve, but putting all the facts together:

    1. There is the vulnerability, which is easy to exploit and reliable works, providing high rights.
      And it seems like not only one, according to this twitter thread https://twitter.com/enigma0x3/status/1148031014171811841.

    2. It is easy to find the vulnerability. I am not sure that I'm first who has found it, but the first one who wrote about it.

    3. Valve declined the report about the EoP vulnerability and same ones. Moreover, the scope of incoming reports specially reduced to exclude EoP-reports.

      As for me, it looks like Valve wants these EoP vulnerabilities to be present in the software.

      It does not look good. I do not recall deleting Steam, but you should be aware and careful with it. Valve do not care about your security, so you are the only one who should be.

    This article was ready for publication by July 30 (this date was chosen due to 45 days deadline since initial vulnerability report was sent). So, two weeks after my message, which was sent on July 20, a person appears, who tells me that my report was marked as not applicable, they closed the discussion and wouldn’t offer any explanation to me. Moreover, they didn't want me to disclose the vulnerability. At the same time, there was not even a single word from Valve. No, guys, that's not how it works. You didn’t respect my work, and that's the reason why I won’t respect yours — I see no reason why I shouldn't publish this report. Most likely I’ll be banned at H1 because of it, but it won't make me upset.

  • Ante gente dudando del exploit, otro bounty hunter publica su proof of concept:

  • Además explica que ya le había pasado a él lo mismo anteriormente:

  • Ars Technica se hace eco y explica el proceso para reproducirlo para dummies.

  • Aparece también en sitios como Hacker News, con usuarios explicando que hay otros fallos similares desde 2015 que no se han corregido.

18
guillauME

Esto es algo tan gordo como Gaben.

6
B

Ya hay que ser gilipollas para ignorar una vulnerabilidad de tal calibre, espero que la arreglen o algo.

Cryoned

qué prisa se han dado en cambiar su punto de vista y pasar a re-evaluación en h1 xD

Pero suena a necesidad de compatibilidad, que darán explicación y no cambiarán.

R0571N

No es sorpresa con Valve.

2
R0571N

Doble post

1 comentario moderado
verseker

A ver en qué queda. Pero esto es una irresponsabilidad de la hostia.

2
1 comentario moderado
Kalgator

Tambien hay que ser retrasado para mostrar a todo el mundo la vulnerabilidad...

1 3 respuestas
AikonCWD

#10 ha entrado en public disclosure tras el aviso pertinente a la compañía. Es lonque hay que hacer

4
Rayfenx

#10 ??

les envian un reporte con el fallo, te tiran el reporte sin ningun tipo de explicacion y sudando
espera mas de 1 mes para una respuesta que nunca llega

esta en todo su derecho de hacerlo publico, es mas, es lo mejor que puede hacer, asi le revientan el sistema y tienen que ir a arreglarlo, si no lo hacen por las buenas pues toca hacerlo por las malas

5
1 comentario moderado
Denian

#10 ¿Pero te has leido #1? Le ha dado tiempo a valve para solucionarlo, a Valve le ha sudado los cojones que Steam sea un puto Troyano y entonces lo ha publicado para que no les quede mas cojones que arreglarlo ahora que es publico.

Putos genios en Valve, no es que abriesen una backdoor para que te metan mierda en el pc, es que abre la puta puerta de Alcala :rofl:

1
Cryoned

No es tal que así. Valve usa una forma de saltarse permisos en sus aplicaciones desde el launcher y probablemente nada cambie porque se necesiten igualmente los permisos para no abrasar al usuario con pantallas de uac o similares.

1 1 respuesta
Denian

#15 Pues a minar todos.

1 respuesta
Cryoned

#16 no se necesitan permisos de administrador para minar, es un ejemplo ridículo de los que han dado.

Podría darse el caso de que un juego si fuese malware y ganase acceso, pero por otra parte se supone que valve tiene un primer filtro.

No es un report nuevo, llevan con variedades de éste mismo desde 2015 y no ha pasado nada con más de 100 millones de usuarios y 4 años

No soy opsec, pero lo que leo intuyo a que desde valve lo saben, no lo consideran un riesgo como tal, no lo van a solucionar y el tío se ha rebotado porque no le han dado la recompensa.

15 1 respuesta
DaLmAu

#13 no te lo crees ni tu que lo estas diciendo.......

4
Denian

#17 Para minar con la aplicacion principal no, para instalarte un miner escondido por el pc que se ejecute con windows si.

2 1 respuesta
Cryoned

#19 contra eso estás igual de vendido en el momento que un juego te pidá acceso para arrancar, instalar un redist, etc. Muchos lo hacen, de hecho algunos lo hacen a lo bestia con los anticheats que se ejecutan en una capa bajísima del sistema con todos los privilegios.

La diferencia entre que te violen el PC y no, es una pantalla de UAC que el 99.9999% de los usuarios daría "si, déjame en paz cojones" para arrancar el juego porque confían en la tienda

3 1 respuesta
1 comentario moderado
Denian

#20 Osea para ti es lo mismo que te tenga que pedir permisos que que lo pueda hacer de forma oculta sin que tu tengas ni la menor idea de que te esta instalando algo, pues fale.

1 1 respuesta
Popino

Ya me estoy bajando la tienda de épico suimi para jugar a

En realidad no entiendo del todo el problema, quizás es demasiado temprano. A ver, si ejecutas cualquier mierda con derechos de administrador al final es lo mismo ¿No? Casi todos los juegos instalan determinados archivos en directorios básicos del sistema ya sea por h o por b.

Y nos sorprendemos mucho pero aquí luego la gente anda con un usuario admin sin contraseña y entrando en cualquier sitio sin precauciones xD

Al final es la cantinela de siempre, la manera en que Windows gestiona permisos es una basura.

Cryoned

#22 No, no es lo mismo, pero me la juego a que valve no lo trata de bug sino de feature, que está hecho a propósito, que no lo van a cambiar y que el dev de #1 lo que tiene es una rabieta porque no le han aceptado algo similar a otro reporte de 2015 que valve ya dijo "nope".

Y eso del launcher pienso le va a pasar a epic también, a ver si alguien se cree que por ejemplo un multiplayer con anticheat tipo the division 2 no se ejecuta con todos los privilegios sin avisar al usuario.

pero vamos, que no soy opsec, solo especulo, igual mañana se monta un pifostio y cambian todo steam o hackean 12398 cuentas, pero me juego un brazo a que no xD

1 respuesta
D4rKNiGhT

Me parece curioso que comiencen a salir estas cosas justo ahora cuando esta la epic store en busca de publicidad y dando por culo con sus juegos suciosos. Sospechoso y me la suda la verdad.

1 2 respuestas
Popino

#25 Aquí nadie se chupa el dedo.

Wei-Yu

#25 ya eh nunca ha salido ninguna vulnerabilidad de valve en el pasado. Fue hace... ¿3 años? cuando abrías el cliente y te lo enseñaba en ruso o un idioma random y podías entrar en las cuentas de otros. Y antes de eso hubo otras tantas.

Los petazos en la tienda en las rebajas de 2019 también son cosa de epic.

Larnox

Decid un par de veces más lo de la Epic store a ver, por que creo que me estáis convenciendo poco a poco.

3 1 respuesta
D4rKNiGhT

#28 epic epic epic epic.

1
AikonCWD

A ver de todas formas eso no es explotable a nivel remoto ni nada, tienes que ejecutar código en local. Y puestos a ejecutar el código que permite escalar privilegios puedes instalar otro tipos de virus, ransomware, etc...

Es grave? sí, y más sabiendo que no lo quieren arreglar ¿wtf? pero tampoco es para rasgarnos las venas.

1 respuesta