Výzkumníci: Steam URL protokol může být zneužita k zneužití zranitelnosti hry

Steam: // Adresy URL mohou obsahovat příkazy Steam protocol pro instalaci nebo odinstalovat hry, aktualizovat hry, spustit hry s určitými parametry, zálohovat soubory nebo provádět další podporované akce.

Útočníci mohou tyto příkazy zneužívat k vzdálenému zneužití zranitelných míst v klientovi Steam nebo Steam hrách nainstalovaných v systému, crafted steam: // adresy URL, výzkumníci a zakladatelé společnosti ReVuln Luigi Auriemma a Donato Ferrante uvedli ve výzkumném dokumentu, který byl zveřejněn v pondělí.

Problém je v tom, že některé prohlížeče a aplikace automaticky předávají param: // adresy URL Steam klientovi potvrzují uživatelé, uvedli vědci. Ostatní prohlížeče vyžadují potvrzení uživatele, ale nezobrazují úplné adresy URL nebo varují před nebezpečím, že povolí tyto adresy URL.

Podle testů provedených výzkumníky ReVuln, varování Internet Explorer 9, Google Chrome a Opera a úplné nebo částečné pary: // adresy URL před jejich předáním klientovi Steam k provedení. Firefox také požaduje potvrzení uživatele, ale nezobrazuje adresu URL a neposkytuje žádné varování, zatímco Safari automaticky provede páru: // URL bez potvrzení uživatele.

"Všechny prohlížeče, které zpracovávají externí zpracovatele URL přímo bez varování a ty, které jsou založeny na motoru Mozilla (jako Firefox a SeaMonkey), jsou dokonalým nástrojem pro provádění tichých volání protokolu Steam Browser Protocol ", uvedli vědci. "Navíc pro prohlížeče, jako je Internet Explorer a Opera, je stále možné skrýt nepoddajnou část adresy URL zobrazenou ve zprávě o varování přidáním několika míst do adresy steam: // URL."

Kromě toho, kliknutím na adresy paragliding: // URL mohou útočníci použít kód JavaScript načtený na škodlivé stránky, aby přesměrovali prohlížeče na takové adresy URL, Luigi Auriemma uvedl v úterý e-mailem.

Prohlížeče, které vyžadují potvrzení uživatele pro par: poskytnout uživatelům možnost změnit toto chování a nechat adresy URL automaticky provádět klient Steam, uvedl Auriemma. "Je velice možné, že mnoho hráčů již obsahuje páru: // odkazy přímo provedené v prohlížeči, aby se zabránilo nepríjemnosti jejich potvrzení po celou dobu."

Výzkumníci vydali video, v němž demonstrují, jak mohou být parody: // adresy URL použity k vzdálenému zneužití některých zranitelných míst nalezených v klientovi Steam a populární hry.

Například příkaz Steam protokolu "retailinstall" může být použit k načtení špatně vytvořeného obrázku TGA splash image, který zneužívá chybu v klientovi Steam spouštět škodlivý kód v kontextu jeho procesu, řekli výzkumníci.

V jiném příkladu může být adresa par: // URL použita ke spuštění oprávněných příkazů nalezených v herním nástroji Source of Valve, aby se do složky Spuštění systému Windows zapsal soubor.bat s obsahem ovládaným útočníkem. Soubory umístěné v adresáři Windows Startup jsou automaticky spuštěny, když se uživatelé přihlásí.

Zdrojový stroj je používán v mnoha populárních hrách včetně Half-Life, Counter-Strike a Team Fortress, které mají desítky milionů hráčů. Další populární herní engine nazvaný Unreal podporuje načítání souborů ze vzdálených sdílených adresářů WebDAV nebo SMB pomocí parametrů příkazového řádku. Nepoužívanou paru: // URL lze použít k načtení škodlivého souboru z takového umístění, které zneužívá některé z mnoha zranitelností přetečení celočíselného kódu, které byly nalezeny v herním engine, aby spustili škodlivý kód, uvedli výzkumní pracovníci společnosti ReVuln.

Automatická aktualizace funkce nalezená v některých hrách, jako je APB Reloaded nebo MicroVolts, může být také zneužívána prostřednictvím par: // URL pro vytváření souborů s obsahem ovládaným útočníkem na disku.

Pro ochranu uživatelů mohou zakázat protokol steam: // URL handler nebo se specializovanou aplikací, nebo můžete použít prohlížeč, který automaticky nevykonává par: // adresy URL, řekl Auriemma. "Nevýhodou je to, že hráči, kteří používají tyto odkazy místně (zkratky) nebo on-line (webový prohlížeč), aby se připojili k serverům nebo použili jiné funkce tohoto protokolu, nebudou moci používat."

Protože Safari je jeden z prohlížečů automaticky spouští páru: // adresy URL, uživatelé Mac OS X, kteří představují většinu uživatelské základny prohlížeče, mohou být více vystaveni takovým útokům. "Mac OS je sekundární platforma používaná na Steamu a mnoho her je k dispozici pro tuto platformu, takže má širokou uživatelskou základnu," říká Auriemma.

"Podle našeho názoru musí ventil odstranit předávání parametrů příkazového řádku do her, protože je to příliš nebezpečné a nemohou řídit, jak mohou tyto softwarové systémy třetích stran jednat s parametry, které byly poškozeny, "uvedl vědecký pracovník.

Ventil okamžitě nevrátil žádost o připomínku

. -hardware titulů softwaru přes Steam. "V posledních měsících společnost Valve investovala hodně do platformy Steam, která zahájila beta verzi systému Steam for Linux a dodala službu GreenLight, kde uživatelé mohou hlasovat o tom, jaké hry by rádi viděly dostupné na Steamu, přidal sekci Software, přidal další hry a některé zvýrazněné hry k dispozici na omezenou dobu, spoustu hratelných her a mnoho dalšího, "řekl výzkumník. "Nebyl lepší okamžik, než si tyto problémy všimli, než teď."