近期，全球流行的Steam遊戲客戶端被曝出0day提權漏洞，影響全球一億多Steam用戶。該漏洞可讓機器上的低權限用戶以SYSTEM權限運行程序。這意味著惡意軟件很可能利用這個漏洞對受害者的機器進行深度破壞。

考慮到Steam是一款總用戶1.2億，日常在線用戶3百多萬，並時刻有大量新用戶加入使用的軟件，預計這個漏洞將對全球遊戲用戶產生深遠影響。

權限升級

在Valve（Steam的廠商）不認領該漏洞後，兩位研究人員公開了這個漏洞的詳細信息。有意思的是，雖然Valve並不承認這個漏洞，更不會給予賞金或修復它，但卻告訴研究人員不能公開漏洞細節。

安全研究員Felix於近期發佈了一份分析報告，著重分析了一個與Steam相關的Windows服務，名為Steam Client Service，它是以SYSTEM權限在Windows上運行。研究人員還注意到，這個服務可以由“Users”用戶組進行啟動或停止，這個“Users”用戶組幾乎包含任何登錄過計算機的角色。

但是，這個服務的註冊表項不能由“User”用戶組寫入。因此，從表面上看，攻擊者是無法從“Users”用戶組提升至SYSTEM權限。

不過，研究人員發現了一些奇怪的現象。當服務啟動和停止時，“Users”用戶組可對HKLM\\Software\\Wow6432Node\\Valve\\Steam\\Apps註冊表項下的子項進行完全讀寫訪問。

“我創建了測試項HKLM\\Software\\Wow6432Node\\Valve\\Steam\\Apps\\test，並重新啟動了服務(我使用了Procmon監控軟件)，然後檢查了註冊項權限。最後發現“Users”用戶組對HKLM\\SOFTWARE\\Wow6432Node\\Valve\\Steam能夠“完全控制”，其所有子項也是如此。我假設RegSetKeySecurity（和安全有關的API）也受到影響，於是嘗試創建從HKLM\\SOFTWARE\\Wow6432Node\\Valve\\Steam\\Apps\\test到HKLM\\SOFTWARE\\test2的鏈接，並重新啟動了服務。”

最後，研究人員嘗試配置了一個符號鏈接，將這些普通用戶能控制的子項鍊接到另一個沒有權限操控的項，結果發現自己也可以修改該項。

此時，研究人員意識到，任何註冊表項都可以通過將HKLM\\Software\\Wow6432Node\\Valve\\Steam\\Apps下的子項創建到目標項的符號鏈接來進行非法修改。

這意味著普通用戶可以修改具有SYSTEM權限的服務，從而實現非法提權。

另一位研究人員放出了PoC

在Felix發表了有關漏洞詳細信息的文章後，另一位研究人員Matt Nelson在GitHub上放出了漏洞利用PoC。Matt Nelson以前有一個網名enigma0x3，以發現提權漏洞而聞名。

Nelson的PoC主要創建了一個HKLM:\\SYSTEM\\CurrentControlSet\\Services\\Steam Client Service的符號鏈接，這樣就可以更改在重新啟動服務時所涉及的可執行文件。

腳本執行完後，可在後臺看到一個具有管理權限的Windows命令窗口，如下所示。

Nelson表示他也曾和Valve交流過有關漏洞的問題。

BleepingComputer已主動聯繫了Valve，詢問為什麼這個漏洞沒有被修復，但是在本文發佈時還沒有得到回覆。

本文由白帽彙整理並翻譯，不代表白帽匯任何觀點和立場

來源：https://nosec.org/home/detail/2847.html

原文：https://www.bleepingcomputer.com/news/security/steam-zero-day-vulnerability-affects-over-100-million-users/

白帽匯從事信息安全，專注於安全大數據、企業威脅情報。

公司產品：FOFA-網絡空間安全搜索引擎、FOEYE-網絡空間檢索系統、NOSEC-安全訊息平臺。

為您提供：網絡空間測繪、企業資產收集、企業威脅情報、應急響應服務。