Valve のバグ報告の取り扱いに憤慨したセキュリティ担当者が、ゲーム大手の主力アプリ Steam に影響を及ぼすゼロデイ脆弱性を明らかにした。
ロシアを拠点とするバグハンターのヴァシリー・クラベッツ氏は、Valve 社との一連の不適切なやり取りが原因で、HackerOne が運営する Valve 社のバグ報奨金プログラムから追放されたことを受けて、権限昇格の脆弱性に関する詳細を公開すると述べた。
クラベッツ氏の話によると(Valve社はコメント要請に応じなかった)、この騒動は今月初め、同氏がSteamクライアントにおける別の権限昇格の欠陥を報告しに行ったときに始まったという。Steamクライアントは、プレイヤーがValve社のプラットフォームからタイトルを購入し実行するために使用するソフトウェアである。
Valveは、このセキュリティホールの存在を認めず、報奨金を支払うことを拒否しました。Valveは、この脆弱性はローカルアクセスと標的マシンへのファイルドロップを必要とするため、Valveの見解では実際には脆弱性ではないと主張しました。最終的に、Kravets氏はHackerOneのValveプログラムから追放されました。
「たくさんのフィードバックをもらいました。でもValveは一言も言わず、HackerOneは長文の手紙を送ってきただけで、ほとんど沈黙を守っていました」とクラベッツ氏は語った。「最終的にValveとの関係は悪化し、HackerOneからBANされてしまいました。もう脆弱性排除プログラムに参加できなくなりました(ただし、H1の残りの部分は引き続き利用可能です)。」
それから約2週間後、Kravets氏はSteamにおける2つ目の権限昇格脆弱性を発見し、公開しました。最初の脆弱性と同様に、この脆弱性(.DLL読み込みの脆弱性)を悪用するには、攻撃者が何らかの方法で標的のマシンにアクセスし、ローカルファイルに書き込む権限を持っている必要があります。
破壊せよ:ゲーム破壊のDDoSガキDerpTrollingに懲役2年
続きを読む
これらの要件が満たされれば、Steamアプリに悪意のあるDLLファイルを読み込み実行させることが可能になり、システムをさらに強力に制御できるようになり、ハッカーは標的のPCにあらゆる種類のマルウェアをダウンロードしてインストールできるようになる可能性があるとクラベッツ氏は述べた。インストールされているゲームによっては、Steamは管理者権限で実行する必要があるため、侵入者がSteam内でコードを実行できれば、大きな被害をもたらす可能性がある。
どちらの欠陥も、攻撃者がすでにターゲットマシンにアクセスできる必要があるため、「重大な」リスクとはみなされませんが (その場合、すでに深刻な問題を抱えているので、別の欠陥は何というのでしょう)、サードパーティコードのマーケットプレイスである Steam は特に、EoP 欠陥によるリスクが高まる魅力的なターゲットになるだろうと Kravets 氏は主張しています。
「本来はコンピュータ上でサードパーティ製プログラムを実行するために設計されたランチャーが、サードパーティ製プログラムに密かに最大限の権限を付与してしまうというのは、皮肉な話です」とバグハンターは指摘する。「無名の開発者が作ったゴミみたいな無料ゲームが、本当にちゃんと動作すると確信できますか?」®
