Steam’de Büyük Bir Güvenlik Açığı Bulundu

1 milyardan fazla kayıtlı kullanıcısı olan Valve Corporation’ın sahip olduğu PC oyun mağazası ve platformu Steam, on milyonlarca Windows bilgisayarında bulunan istemci yazılımına sahiptir. Önemli bir güvenlik açığından yararlanma riski altında olan kullanıcılar.

Güvenlik araştırmacısı Vasily ‘Felix’ Kravets (ThreatPost aracılığıyla), Steam kullanıcılarının Steam oyunlarını oynamak için PC’lerine yükledikleri program olan Steam İstemcisi Hizmeti içinde ayrıcalık artırma sorununu buldu.

İstemci Hizmeti, cihazdaki herhangi bir kullanıcı tarafından durdurulabilir ve başlatılabilir ve birileri bunu yaptığında, programla ilgili bir dizi Windows Kayıt Defteri alt anahtarına erişebilir. Bu tuşlar daha sonra cihazdaki diğer konumlara sembolik bağlantı (sembolik bağlantı veya bir dosyaya veya Kayıt defteri anahtarına diğerinden erişmek için bir kısayol) düzenlenebilir,

Steam’de Güvenlik Açığı

Kravets, Steam ile ilgili bir bağlantıyı yönetici ayrıcalıklarına sahip bir Kayıt defteri anahtarına yönlendirebilir, PC’yi yeniden başlatabilir ve tam sistem kontrolü ile bir komut istemi alabilir. Söylemeye gerek yok, zaten yüklü olan bir malware de dahil olmak üzere herhangi bir sınırlı ayrıcalıklı kullanıcı, Steam yüklü bir Windows PC‘de istedikleri her şeyi çalıştırabilir, çünkü bu büyük bir sorundur.

Bu potansiyel sorun yeterince kötü olsa da, Valve ne yazık ki ticari marka ilgisizliği ile platformdaki tehdidi açıkça görüyordu. Kravets şirketi Haziran ayında böcek raporlama platformu HackerOne aracılığıyla konuyla ilgili uyarmaya çalıştığında, raporu reddedildi. Steam, yalnızca kullanıcının dosya sistemine dosya yerleştirdiyseniz mümkün olan saldırının, yalnızca kullanılan yöntem olarak geçerli olmayan, yalnızca mevcut dosyaları düzenlemeye dayandığını, yenilerini eklemeye dayanmadığını savundu.

Kravets, sorunu açıklığa kavuşturmak için bazı ek bilgilerle raporu yeniden açtı, ancak saldırganın kullanıcının cihazına fiziksel olarak erişmesi ve aynı zamanda yanlış olması gerektiği gerekçesiyle tekrar reddedildi.

Steam Kullanıcılarının Dikkatine!

Kravets, konuyu kamuya açıklamadan 45 gün önce bekledi. HackerOne raporu o zamandan beri yeniden açıldı ve Valve, Steam İstemcisi için bir hata düzeltmesi yaptı. Ancak, Kravets, aynı saldırı vektörünü açık bırakarak bu düzeltmenin atlanabileceğine inanıyor.

Hiçbir kötü niyetli kişi veya yazılım parçası bilgisayarınıza saldırmaya çalışmasa bile, Kravets, Steam istemcisinin ihtiyaç duymadığı kurulu herhangi bir Steam oyununa güçlü sistem ayrıcalıkları verme konusunda hala bir sorun olduğunu söylüyor.

İnternetten indirilen PC oyunlarının kripto para yatırım madenciliği programları kurmak için nasıl kullanılabileceğini görün (kardeş sitemiz TechRadar’ın bildirdiği gibi) Valve bu sorunu daha ciddiye almak isteyebilir.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir