[新聞] Steam含有權限擴張漏洞，波及1億用戶

作者wizardfizban (瘋法師)

看板C_Chat

標題[新聞] Steam含有權限擴張漏洞，波及1億用戶

時間Sat Aug 10 12:24:35 2019

Steam含有權限擴張漏洞，波及1億用戶 https://www.ithome.com.tw/news/132344 代號為Felix的俄羅斯安全研究人員在本周揭露了Windows版的Steam客戶端程式，含有一零時差的權限擴張漏洞，將允許駭客取得管理員權限，於系統上執行任意程式，雖然他曾先行通報Steam，卻遭到Steam拒絕，使得Felix決定公布漏洞細節，波及超過1億的Steam 註冊用戶。根據Felix的說明，Steam的客戶端程式有一項基於系統權限執行的Steam Client Service 功能，奇怪的是來自「使用者」（Users）群組的任何人，都有權啟用或關閉該功能，繼之他發現所有使用者都能存取該功能的登錄機碼，也讓駭客可利用它來擴張權限。 Felix指出，這意味著只要Windows電腦安裝了Steam，駭客就可取得系統管理員權限並執行任意程式。 Steam為美國業者Valve所開發的遊戲數位發行平台，它支援Windows、macOS、Linux、 Android與iOS等平台。根據Steam Spy的估計，Steam的全球用戶數超過2.4億，而Steam今年7月的調查則顯示，約有71.5%的用戶使用Windows 10作業系統，代表至少有1.7億的用戶受到該漏洞的影響。 Felix表示，他是在今年6月透過Valve，於HackerOne上執行的抓漏獎勵專案回報了該漏洞，該漏洞已經通過了HackerOne的審核，卻被Valve打了回票，理由是：駭客必須有能力在使用者檔案系統上置放檔案，也必須實際接觸使用者裝置，因此不適用於該專案。但當他準備公布漏洞資訊時，Valve還曾制止他。而在Felix公布了漏洞資訊之後，即有另一名研究人員於GitHub上釋出了針對該漏洞的概念性驗證攻擊程式。截至新聞發布前，Valve仍未公開回應此事。 ==== 有中文報導了，那就來貼一下。其實我覺得這新聞很妙.... 因為這個漏洞的使用條件是駭客要實際碰到你的電腦才能使用...... 阿...對方都能用我電腦了，有比搞這漏洞更簡單直接的方法吧！ -- 我們不應該依負擔的罪惡來選擇道路，而是在選擇的道路上負擔自己的罪惡。 ──蒼崎橙子「空之境界」── -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.233.157.181 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/C_Chat/M.1565411077.A.5EF.html

→ Nuey: 都可以碰電腦了怎麼不整台搬走就好== 08/10 12:25

推 pablohoney: 那是系統管理員權限你的帳號不一定有admin權限所以 08/10 12:26

→ pablohoney: 多少有用 08/10 12:26

推 blackone979: 這個真的很搞笑XD 要能碰到你的電腦才能執行的漏洞 08/10 12:27

推 kaj1983: 實際接觸使用者裝置的定義是什麼？ 08/10 12:27

推 Koyomiiii: 要碰到你電腦好喔 08/10 12:28

→ kaj1983: 我想駭客一般人的定義肯定有差別 08/10 12:28

→ stkoso: EPIC準備撰文了 08/10 12:29

→ midas82539: 就首先駭客要奪取你電腦的系統管理員權限，才能用漏洞 08/10 12:30

推 FlutteRage: 先推個epic 08/10 12:30

推 asdasd02tw: 我覺得找到漏洞不給獎金就算了，但是制止公開不知道v 08/10 12:30

→ asdasd02tw: alve 是什麼打算 08/10 12:30

推 amsmsk: 網咖都這樣被盜的吧 08/10 12:30

推 s2637726: 早就看破steam的手腳了 08/10 12:31

→ midas82539: 舉例來說，就像我發現本板有個水桶的漏洞 08/10 12:32

推 kaj1983: 為了修漏洞吧，在修好前不想讓更多人知道 08/10 12:32

推 breakblue: 要先取得系統管理員權限但是有了權限也不用這個漏洞了 08/10 12:32

→ erisiss0: 這表示說該漏洞可能要用到實體裝置才能做吧？比方USB 08/10 12:32

→ amsmsk: 有能力防止程式到你電腦為什麼一定要碰到裝置啊有人可以 08/10 12:32

→ amsmsk: 解釋嗎？ 08/10 12:32

→ midas82539: 但是這個漏洞是我當板主獲得權限後才能使用這樣 08/10 12:32

→ erisiss0: 主要比較奇怪的是為啥他說這個有問題機碼可以衍生到 08/10 12:34

→ midas82539: 一定要碰到裝置在以前另一個作法是藏在隨身碟autorun 08/10 12:34

推 iamnotgm: 我以為這篇意思是說駭客只要能用任何使用者登入這台PC 08/10 12:34

推 kaj1983: 不是駭客應該也看不懂該怎麼做啦，只能瞎猜會發生啥事 08/10 12:34

推 Arminius: 啊嗯～比如說阿湯哥就不用辛苦地對工程師下藥...大概吧 08/10 12:34

推 z83420123: 是Valve覺得該碰到吧 08/10 12:34

→ erisiss0: 直接獲得win的管理員權限。那問題應該是win的這邊惹吧 08/10 12:34

→ iamnotgm: 就能利用這個漏洞拿到管理員權限?還是不是這意思? 08/10 12:34

→ midas82539: 利用插進去的autorun植入病毒，但steam哪會用到隨身碟 08/10 12:35

→ z83420123: 但後面不是有其他人釋出了針對該漏洞的概念性攻擊程式 08/10 12:35

推 DON3000: 這個漏洞還是要修好 08/10 12:35

→ z83420123: 那就代表說可能不用實際碰到吧 08/10 12:35

→ kaj1983: 一般人只要知道有漏洞就好，靜待v社修好出來向大家報告 08/10 12:35

推 amsmsk: 我看其他文章是說用低權限去控制電腦 08/10 12:35

→ GAOTT: 需不需要用物理手段是看駭客等級不是看官方官腔說辭 08/10 12:35

推 orze04: 要放置檔案進電腦又不是很稀奇的事 08/10 12:36

→ breakblue: 看起來是工作群組的所有人都能透過這個成為管理員 08/10 12:36

→ orze04: 所謂接觸也不一定是物理上接觸 08/10 12:36

→ GAOTT: 不要用電影漫畫邏輯誇大駭客但也不要把駭客當87好嗎 08/10 12:37

→ orze04: 只要能放一個木馬就能透過這漏洞擴張更多權限 08/10 12:37

→ erisiss0: 聽起來是有點奇怪就是，先對這新聞打個問號吧 08/10 12:38

推 Malpais: http://bit.ly/31tU727 發現者自己的英文解釋 08/10 12:40

推 siyaoran: 那只是v社自己的說法好嗎？攻擊程式+遠端控制就可以做 08/10 12:44

→ siyaoran: 到了 08/10 12:44

→ erisiss0: 其實這要自證很容易吧？就實際設計一個可以遠端攻擊的模 08/10 12:46

→ erisiss0: 擬就好 08/10 12:46

推 amsmsk: 文章不是有人已經放出模擬了 08/10 12:47

推 kenyun: 駭客要用這漏洞至少要先登入USER，才有辦法偷ADMIN權限 08/10 12:50

→ kenyun: 但你的電腦給USER無密碼登入是你的錯吧 08/10 12:50

→ kenyun: 更別提大部份人(家用個人用)的預設帳號就是管理員了 08/10 12:51

→ midas82539: 發現者的英文解釋就是在講steam的伺服器權限設定呀 08/10 12:51

→ midas82539: 簡單地說就是他發現伺服器定義的權限有問題，但你要從 08/10 12:52

→ midas82539: 獲得保全金鑰，首先你要想辦法弄到有問題的帳號權限 08/10 12:53

→ midas82539: 你才能再照著文章思路弄到伺服器的管理員權限 08/10 12:53

→ erisiss0: 剛剛在reddit爬了一下，難怪人家不想管這個漏洞 08/10 12:55

推 amsmsk: steam版說有更新了那幹嘛不給獎金= = 08/10 12:55

→ erisiss0: 因為這個漏洞的最前提就是你要先弄到管理權限才有辦法搞 08/10 12:55

→ erisiss0: 我猜不給獎金的理由是因為這個漏洞本身真的很脫褲子放屁 08/10 12:55

→ erisiss0: 吧... 08/10 12:55

→ erisiss0: 不過這個漏洞是需要修沒錯 08/10 12:56

推 toulio81: 看那發現者的說法，應該是不用直接接觸電腦也可以利用吧 08/10 12:58

→ toulio81: ？發現者認為steam那回應根本不正確，是steam想賴帳吧？ 08/10 12:58

→ toulio81: 不然公佈了也沒用 08/10 12:58

→ erisiss0: 恩，比較有問題的是steam不想發錢給人家這點小氣八拉 08/10 12:59

推 amsmsk: 我不知道為什麼要禁止發表然後又自己修掉… 是被俄羅斯駭 08/10 13:00

→ amsmsk: 客拿太多次嗎XDD 08/10 13:00

→ erisiss0: 大概真的是因為大前提有點太沒意義（即使這真的有漏洞） 08/10 13:01

推 andy0481: 還沒修好前禁止發表不是正常嗎...一堆遊戲公司也會禁止 08/10 13:01

→ andy0481: BUG在修好前被大肆宣傳阿 08/10 13:01

→ midas82539: 漏洞修掉本來就應該的呀不然？ 08/10 13:02

推 acopika: E:看 STEAM比我們更木馬 08/10 13:02

→ blackone979: STEAM應該是覺得這漏洞前提是駭客要先掌握你電腦的權 08/10 13:03

→ blackone979: 限而不是直接透過steam漏洞在要使用這漏洞之前你的 08/10 13:03

推 toulio81: 但是設了懸賞讓人幫忙抓漏洞又不付錢這點有問題，如果 08/10 13:03

→ toulio81: 根本不覺得是漏洞那根本不該禁止公佈、也不該修，就算 08/10 13:03

→ toulio81: 不是很嚴重的安全性漏洞也是一個Bug 08/10 13:03

→ erisiss0: 4.因為這漏洞要先拿到一定權限，那有權限何需要steam才 08/10 13:04

→ erisiss0: 能搞事情...這大概是不想發錢的理由吧？ 08/10 13:04

→ blackone979: 電腦本身就已經被駭了並不是steam方的問題到這前提 08/10 13:04

→ blackone979: 的情況駭客已經差不多什麼都可以做 08/10 13:04

→ erisiss0: 雖然實際這真的是有漏洞就是...只能說steam這次有點小氣 08/10 13:05

推 toulio81: 其實就是一個覺得不想為了這問題付錢，一個認為做白工 08/10 13:06

→ toulio81: 很不爽，不過兩者的行動感覺都沒違法，所以就看看吧 08/10 13:06

→ midas82539: 嗯，這次有點像保險公司沒付理賠金的感覺（笑 08/10 13:06

推 andy0481: 保險公司不賠理賠金很多都是當初條文沒看好就簽 08/10 13:07

→ blackone979: STEAM就覺得這個漏洞雖然存在但要使用的前提並不是 08/10 13:08

→ andy0481: 這篇也是不知steam獎金發放規則而且他還用公布來威脅 08/10 13:08

→ blackone979: 他們的責任範圍當駭客已經掌握你的電腦權限的情況下 08/10 13:08

→ blackone979: 就算他不用這漏洞也有更多的事情能做 08/10 13:08

→ andy0481: 所以實際上怎樣我覺得等雙方都發新聞再來看 08/10 13:08

推 kenyun: 登入user後要搞admin有太多方法還真沒必要借steam的通道 08/10 13:10

推 RuinAngel: Felix 的原文就把該揭露的都揭露了啊然後有位 Matt 08/10 13:13

→ RuinAngel: Nelson 做了個 PoC 在 github 08/10 13:14

→ RuinAngel: 想確認這個 bug 的威力可以依上面關鍵字去 Google 08/10 13:14

→ RuinAngel: 不過就像樓上說的，都有妳電腦 user 權限了要搞事還需 08/10 13:14

→ RuinAngel: 透過 steam 嗎XD 08/10 13:14

推 Malpais: 不處理就公布是業界規則啊.... 08/10 13:15

→ Malpais: google 有個團隊就是在專門找各家公司的軟體漏洞期限 08/10 13:16

→ Malpais: 到對方不處理就直接對外公布 08/10 13:16

→ Malpais: 而且這個人不是拿不到錢就馬上公布他有給steam時間修 08/10 13:17

→ Malpais: 漏洞但是等不到 08/10 13:17

推 amsmsk: steam這次真的算小氣拉 08/10 13:17

推 s12358972: Epic要高潮了 08/10 13:18

推 RuinAngel: 幫附一下回絕理由 https://i.imgur.com/l35Dlyl.png 08/10 13:20

→ amsmsk: 理由文章有阿 08/10 13:21

推 kaj1983: 原來資安專家就是靠勒索過日子啊XDDD 08/10 13:22

→ amsmsk: 這樣我覺得不是勒索ㄅ又不是你不修正就利用漏洞 08/10 13:24

推 RuinAngel: 可是這理由完全沒有否定這個問題的威脅啊，要能在玩家 08/10 13:24

推 shinobunodok: 你現在是駭客(物理)嗎？ 08/10 13:24

→ RuinAngel: 電腦放置檔案很簡單啊妳弄個免費遊戲總會有人接受條款 08/10 13:24

→ RuinAngel: 安裝的吧，這不就放到檔案了XD 08/10 13:25

→ RuinAngel: 同時還能存取 steam 呢，先決條件達成一半XDDD 08/10 13:25

推 Malpais: 這不是勒索啊他有先跟steam講公開期限而且已經把漏洞 08/10 13:25

→ Malpais: 完整跟steam說了 steam不給錢也能把漏洞補上 08/10 13:25

→ midas82539: 你是以為商城的網管都死了是不是？ 08/10 13:26

→ jackz: 這大概是EPIC的寫手新聞 08/10 13:26

推 kenyun: 發布的針對性程式也是你自己放進你電腦的不就跟steam講 08/10 13:27

→ midas82539: 講那麼多你可以弄一個免費木馬遊戲呀，看你能不能上架 08/10 13:27

→ kenyun: 的一樣… 08/10 13:27

→ Malpais: 從他透過內部跟steam講到他公開隔了45天中間steam隨時 08/10 13:27

→ w3160828: 從沒有法律禁止別人公佈漏洞吧 08/10 13:27

→ Malpais: 都可以修補且沒任何義務給他錢但steam偏偏拖到他公布 08/10 13:27

→ Malpais: 了才補上 08/10 13:27

推 kuninaka: 實際接觸使用者裝置 08/10 13:28

推 roea68roea68: 真的那麼不重要幹嘛制止公布幹嘛在beta版修了 08/10 13:28

→ roea68roea68: 自打臉嘛.. 08/10 13:28

→ kaj1983: 防止有心人找麻煩啊 08/10 13:28

→ kuninaka: STEAM已經補上漏洞？ 08/10 13:28

→ kuninaka: VALVE制止公布？ 08/10 13:29

→ kaj1983: 就放著沒什麼關係，既然被找到了就修 08/10 13:29

推 Malpais: https://googleprojectzero.blogspot.com google養的 08/10 13:30

→ Malpais: 專門查各家漏洞的駭客小組對方90天內不修正就直接公布 08/10 13:30

→ kuninaka: VALVE太可惡了吧我決定今天抵制VALVE旗下所有產品 08/10 13:30

推 kenyun: 因為感覺這跟提醒拉鏈沒拉一樣我懶的拉上你就里民放送 08/10 13:30

→ kenyun: 全村都知道我拉鏈沒拉我就只好拉上 08/10 13:31

推 kaj1983: 幹！拉鏈沒拉不要靠近我.... 08/10 13:32

推 kuninaka: 臭 08/10 13:32

推 forever9801: 感覺網咖就會死阿也不能說沒啥用的漏洞 08/10 13:34

推 Malpais: 不把事情鬧大逼你拉上萬一有變態也發現你沒拉拉鏈卻不 08/10 13:35

→ Malpais: 跟別人說還偷偷跟蹤你想犯罪就糟了大概是這樣(?) 08/10 13:35

推 amsmsk: 看到這新聞就是想網咖最危險 08/10 13:36

推 kaj1983: 那應該是正妹拉鏈沒拉才對，男的沒人想理XDDD 08/10 13:40

推 guogu: 這個漏洞主要是針對公用電腦啦他的前提是要有user權限 08/10 13:41

推 windowhihi: 蘿莉沒穿內褲你跟她媽媽說也不理你只好大聲叫出來 08/10 13:41

→ guogu: 然後透過這個漏洞去執行管理員權限 08/10 13:42

推 Bencrie: 呃 ... 資安日常？ 08/10 13:42

→ guogu: 一般人windows下應該就是一個使用者在用而已 08/10 13:43

推 kenyun: 網咖一樣R 想搞事+能實體接觸=直接移除admin密碼就好了 08/10 13:47

→ bluejark: 被發現漏洞是很正常的事啊幹嘛覺得是人家想搞你 08/10 13:52

推 bloodruru: 關鍵就是從User取得登錄機碼，所以也才說駭客要接觸使 08/10 13:53

→ bloodruru: 用者裝置，所以就還好... 08/10 13:53

推 siyaoran: steam的說法好像是共用電腦不是我的職責所在 08/10 13:53

→ siyaoran: 問題是windows設帳戶就是預設可多人使用阿 08/10 13:54

推 momo1244: 天啊太震驚了駭客只要摸到我的電腦我就有危險我要控 08/10 14:03

→ momo1244: 告steam 08/10 14:03

→ dieorrun: 都弄到管理權限了還來弄這個漏洞幹嘛XDDDDDDDD 08/10 14:05

推 siyaoran: 樓上是沒有管理權限的user能弄到管理權限 08/10 14:08

推 jerry78424: 一堆資安盲急著秀無知 08/10 14:12

推 s12358972: 樓上也不能這樣說啦畢竟這塊很少人會去深入了解 08/10 14:13

→ dieorrun: 只是覺得很無謂啦對一般人根本不會有影響阿 08/10 14:14

推 siyaoran: 個人電腦用途影響不大 08/10 14:17

→ bladesinger: 又一個洞，既然被爆大概一兩天內會補起來吧 08/10 14:45

→ bladesinger: 一般用戶沒啥影響，除非駭客能直接碰你電腦 08/10 14:46

→ ccode: 有駭客能透過程式使用這漏洞的說法，並不限直接操作 08/10 14:50

→ poke001: 有些電腦教室也會鎖管理者權限啦 08/10 14:54

推 siyaoran: 應該是能透過攻擊程式就做到沒錯 v社說法比較像是不發獎 08/10 14:54

→ siyaoran: 金的藉口 08/10 14:54

噓 b0920075: 應該是能放檔案到file system加上能實體接觸電腦就有提 08/10 14:55

→ b0920075: 權的能力吧，上面一堆人到底在共三小 08/10 14:55

推 kevindd: 實際碰電腦才有用是Valve在嘴砲騙一般人像電腦病毒一樣 08/10 14:56

推 siyaoran: 簡單的說v社認為需要實體接觸發現者認為不需要 08/10 14:56

→ kevindd: 網路遠端 mail 網頁以前還有透過防毒軟體更新都能偷裝 08/10 14:57

推 siyaoran: 只要有用到網路內網溝通的鎖管理者權限是很常見的 08/10 15:00

→ linzero: 問題不在實體不實體啥的。是因Steam破壞了原本的分級安全 08/10 15:11

→ linzero: 機制 08/10 15:11

推 xupgsj: Epic熱身中 08/10 15:12

推 siyaoran: 不小心安裝攻擊程式的使用者跟實體接觸的駭客沒兩樣(? 08/10 15:13

→ ccode: ...今天Steam Client Beta好像已經修掉了，公佈果然有用XD 08/10 15:15

推 siyaoran: 不修的話會被卡巴擋掉(? 08/10 15:20

推 AirForce00: 說真的，我都直接搞掉系統管理員帳戶的密碼，更改帳 08/10 15:32

→ AirForce00: 戶權限了，根本不需要這種漏洞。 08/10 15:32

→ bluejark: WIN也很多漏洞對一般使用也沒差就不算漏洞了嗎 08/10 15:38

推 ak47123121: 雖然不大，但發現者公開漏洞真的有良知就是 08/10 16:32

推 vinex518: 呼好險我都用EPIC 否則可能就被駭客入侵了 08/10 16:37

推 patrickleeee: EPIC 我程式直接就可以偷資訊了才不像STEAM這麼遜 08/10 17:00

→ lucifiel1618: 這明明超嚴重的漏洞被你們講的沒事一樣 08/10 18:34

→ wizardfizban: 要碰到我電腦才能用的bug...是能多嚴重你家不鎖門? 08/11 07:54

→ ccode: 能碰到電腦才有用的說法...只能說當初測試的人技術太差 08/11 10:24

→ ccode: 漏洞公佈後有人僅在一般使用者權限下就能用腳本提升到管理 08/11 10:25

→ ccode: 者權限，也就是說，如果有惡意程式偽裝成遊戲就能在使用者 08/11 10:26

→ ccode: 不知情的情況下當作管理員開後門 08/11 10:27

→ lucifiel1618: 你只要是一個開放外連的伺服器系統的其中一個使用者 08/11 19:31

→ lucifiel1618: 就能使用管理員權限這是超嚴重的問題好嗎。所有大型 08/11 19:31

→ lucifiel1618: 伺服器學校公司政府機關都有這個風險。然後這也不需 08/11 19:31

→ lucifiel1618: 要物理碰到電腦，那個員工不懂隨便講你就隨便信耶 08/11 19:31