Mga mananaliksik: Steam URL protocol ay maaaring abusuhin upang pagsamantalahan ang mga kahinaan ng laro

Maaaring abusuhin ng mga Attacker ang paraan ng mga browser at iba pang mga application na pangasiwaan ang steam: // protocol URL upang mapagsamantalahan ang mga malubhang kahinaan sa client ng Steam o mga laro na naka-install sa pamamagitan ng platform, ayon sa mga mananaliksik mula sa startup vulnerability research at consultant firm ReVuln.

Steam ay isang popular na digital distribution at digital rights management platform para sa mga laro at, mula noong mas maaga sa buwang ito, iba pang mga software na produkto. Ayon sa Valve Corporation, ang kumpanya na bumuo at nagpapatakbo ng platform, ang Steam ay nag-aalok ng higit sa 2,000 mga pamagat at may higit sa 40 milyong mga aktibong account.

Ang Steam client ay maaaring tumakbo sa Windows, Mac OS X at Linux, bagama't bilang beta version lamang sa huling OS.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

Kapag naka-install ang Steam client sa isang system, nagrerehistro ito bilang isang steam: // URL protocol handler. Nangangahulugan ito na sa tuwing ang isang gumagamit ay nag-click sa isang singaw: // URL sa isang browser o ibang application, ang URL ay ipinapasa sa Steam client para sa pagpapatupad.

Steam: // Mga URL ay maaaring maglaman ng Steam protocol command upang i-install o Pag-uninstall ng mga laro, i-update ang mga laro, simulan ang mga laro na may ilang mga parameter, backup file o magsagawa ng iba pang mga sinusuportahang pagkilos.

Maaaring abusuhin ng mga Attacker ang mga utos na ito sa malayuang pagsasamantala ng mga kahinaan sa Steam client o Steam game na naka-install sa isang system Ang mga mananaliksik at mga tagapagtatag ng ReVuln na si Luigi Auriemma at Donato Ferrante ay nagsabi sa pananaliksik na inilathala sa Lunes.

Ang problema ay ang ilang mga browser at mga application ay awtomatikong nagpapalabas ng steam: // URL sa Steam client nang hindi humihiling kumpirmasyon mula sa mga gumagamit, sinabi ng mga mananaliksik. Ang iba pang mga browser ay humiling ng pagkumpirma ng gumagamit, ngunit huwag ipakita ang buong mga URL o bigyan ng babala tungkol sa mga panganib na pahintulutan ang mga URL na maisakatuparan.

Ayon sa mga pagsusuri na isinagawa ng mga mananaliksik ng ReVuln, Internet Explorer 9, ang mga alerto sa Google Chrome at Opera display at ang buong o bahagyang singaw: // mga URL bago ipasa ang mga ito sa Steam client para sa pagpapatupad. Hinihiling din ng Firefox ang pagkumpirma ng gumagamit, ngunit hindi nagpapakita ng URL at walang babala, habang ang Safari ay awtomatikong nagpapatakbo ng steam: // Mga URL na walang kumpirmasyon ng user, sinabi ng mga mananaliksik.

"Lahat ng mga browser na nagpapatupad ng mga direktang tagapangasiwa ng URL nang walang mga babala at ang mga batay sa Mozilla engine (tulad ng Firefox at SeaMonkey) ay isang perpektong vector upang magsagawa ng tahimik na tawag sa Steam Browser Protocol, "sabi ng mga mananaliksik. "Bukod pa rito para sa mga browser tulad ng Internet Explorer at Opera posible pa rin na itago ang dodgy bahagi ng URL mula sa pagpapakita sa mensahe ng babala sa pamamagitan ng pagdaragdag ng ilang mga puwang sa steam: // URL mismo."

Bukod sa tricking users sa mano-mano mag-click sa pusong singaw: // Mga URL, maaaring gamitin ng mga attacker ang JavaScript code na na-load sa mga nakakahamak na pahina upang i-redirect ang mga browser sa mga URL na iyon, sinabi ni Luigi Auriemma sa pamamagitan ng email.

Mga browser na nangangailangan ng pagkumpirma ng gumagamit para sa singaw: // pagpapatupad ng URL sa pamamagitan ng default magbigay ng mga user na may isang pagpipilian upang baguhin ang pag-uugali na ito at awtomatikong mai-execute ang URL ng Steam client, sinabi ni Auriemma. "Lubhang posible na maraming mga manlalaro ay may steam: // links nang direkta na isinagawa sa browser upang maiwasan ang pagkayamot ng pagkukumpirma sa kanila sa lahat ng oras."

Isang screen capture mula sa proof-of-concept na video na nilikha ng ReVuln na nagpapakita kung paano maaaring maabuso ng mga pag-atake ang mga paraan sa mga browser at iba pang mga application na may hawak na stream: // mga URL ng protocol

Inilabas ng mga mananaliksik ang isang video kung saan ipinapakita nila kung gaano ang singaw: // mga URL ay maaaring magamit upang malayasan nang husto ang ilang mga kahinaan na natagpuan sa Steam client at popular na mga laro.

Halimbawa, ang command na "retailinstall" ng Steam protocol ay maaaring magamit upang mag-load ng malformed TGA splash image file na nagsasamantala ng isang kahinaan sa Steam client upang magsagawa ng malisyosong code sa konteksto ng proseso nito, sinabi ng mga mananaliksik.

Sa ibang halimbawa, ang steam: // URL ay maaaring gamitin upang maisagawa ang mga lehitimong utos na natagpuan sa engine ng Source ng balbula upang makapagsulat ng isang.bat file na may nilalaman na kinokontrol ng attacker sa loob ng folder ng Windows Startup. Ang mga file na matatagpuan sa direktoryo ng Windows Startup ay awtomatikong isinasagawa kapag nag-log in ang mga user.

Ang laro ng Source engine ay ginagamit sa maraming popular na laro kabilang ang Half-Life, Counter-Strike at Team Fortress na may sampu-sampung milyong manlalaro. Ang isa pang sikat na laro ng makina na tinatawag na Unreal ay sumusuporta sa paglo-load ng mga file mula sa remote WebDAV o SMB shared directories sa pamamagitan ng mga parameter ng command line. Isang pusong steam: // URL ay maaaring magamit upang mag-load ng isang malisyosong file mula sa naturang lokasyon na nagsasamantala sa isa sa maraming mga kahinaan sa overflow na natagpuan sa engine ng laro upang maisagawa ang malisyosong code, sinabi ng mga mananaliksik na ReVuln.

Ang auto-update Ang tampok na natagpuan sa ilang mga laro tulad ng APB Reloaded o MicroVolts ay maaari ding abusuhin sa pamamagitan ng steam: // URL upang lumikha ng mga file na may nilalaman na kinokontrol ng attacker sa disk.

Upang protektahan ang kanilang mga sarili, ang mga gumagamit ay maaaring hindi paganahin ang steam: // URL protocol manu-mano nang manu-mano o may isang dalubhasang aplikasyon, o maaaring gumamit ng isang browser na hindi awtomatikong magsasagawa ng steam: // mga URL, sinabi ni Auriemma. "Ang downside ay na ang mga manlalaro na gumagamit ng mga link na ito sa lokal (mga shortcut) o online (web browser) na sumali sa mga server o gumagamit ng ibang mga tampok ng protocol na ito ay hindi magagamit ito."

Dahil ang Safari ay isa sa mga browser na awtomatikong nagsasagawa ng singaw: // Mga URL, mga gumagamit ng Mac OS X, na kumakatawan sa karamihan ng base ng browser ng browser, ay maaaring mas nakalantad sa naturang mga pag-atake. "Ang Mac OS ay ang pangalawang plataporma na ginamit sa Steam at maraming mga laro ang magagamit para sa plataporma na ito upang magkaroon ito ng malawak na base ng user," sabi ni Auriemma.

"Sa aming opinyon, dapat tanggalin ng Valve ang paglipas ng mga parameter ng command-line sa mga laro dahil ito ay masyadong mapanganib at hindi nila maaaring kontrolin kung paano ang mga software na ito ng ikatlong partido ay maaaring kumilos sa malformed parameter, "Sinabi ng researcher.

Ang balbula ay hindi agad na ibalik ang isang kahilingan para sa komento.

Mas maaga ngayong buwan Valve nagsimula na ipamahagi ang piliin ang hindi -gaming mga pamagat ng software sa pamamagitan ng Steam. Ang mga kahinaan na natagpuan sa ganitong mga application ay maaari ring ma-exploigate sa pamamagitan ng steam: // URL, sinabi ni Auriemma.

"Sa mga nakaraang buwan, ang Valve ay maraming namuhunan sa platform ng Steam na naglulunsad ng beta na bersyon ng Steam para sa Linux, pagdaragdag ng serbisyo ng GreenLight kung saan ang mga gumagamit ay maaaring bumoto kung anong mga laro ang nais nilang makita na makukuha sa Steam, idinagdag ang seksyon ng Software, nagdagdag ng higit pang mga laro at ilang naka-highlight na mga laro na magagamit nang ganap para sa limitadong oras, tonelada ng mga libreng laro sa paglalaro at marami pang iba, "sabi ng mananaliksik. "Walang mas mahusay na sandali upang mapansin ang mga isyung ito kaysa sa ngayon."