雷鋒網8月10消息，據外媒報道，Windows最受歡迎的游戲平臺Steam客戶端版本發(fā)現(xiàn)有0Day特權升級漏洞，該漏洞可允許具有有限權限的攻擊者以管理員身份運行程序。

據悉，權限升級漏洞是應用中的一個錯誤操作程序，它使權限有限的用戶可以使用提升權限或管理權限啟動可執(zhí)行文件。

考慮到Steam平臺擁有超過1億注冊用戶以及數百萬潛在注冊用戶，因此這是一個嚴重的風險，可能被惡意軟件濫用以執(zhí)行各種不需要的活動。

在昨天發(fā)布的一份報告中，安全研究員Felix分析了與Steam客戶端相關的Windows服務，其被稱作“Steam客戶端服務”。

他稱，啟動時，此服務在Windows上以SYSTEM權限啟動其可執(zhí)行文件。研究人員還注意到該服務可以由“用戶”組啟動和停止，“用戶”組幾乎都是登錄計算機的人。

研究人員還發(fā)現(xiàn)當服務啟動和停止時，它為“用戶”組提供了對HKLM \ Software \ Wow6432Node \ Valve \ Steam \ Apps注冊表項下的子項的完全寫入權限。

起初，此服務的注冊表項不能由“用戶”組寫入，因此無法修改它以啟動其他可執(zhí)行文件并將其權限提升為管理員。但經過進一步研究之后，F(xiàn)elix發(fā)現(xiàn)了用非常規(guī)手段將普通用戶權限提升至最高管理權限的方法：

“我創(chuàng)建了測試密鑰HKLM\Software\Wow6432Node\Valve\Steam\Apps\test，重新啟動了服務(Procmon的日志在上面)，并檢查了注冊表密鑰權限。在這里我發(fā)現(xiàn)HKLM\SOFTWARE\Wow6432Node\Valve\Steam對‘用戶’組有明確的‘完全控制’權限，這些權限將繼承所有子鍵功能。”

假設RegSetKeySecurity設置了相同的權限，如果有符號鏈接，就會發(fā)生一些有趣的事情。我創(chuàng)建了從HKLM\SOFTWARE\ wow6432節(jié)點\Valve\Steam\Apps\test到HKLM\SOFTWARE\test2的鏈接，并重新啟動了服務。

此后，F(xiàn)elix嘗試從這些子鍵功能鏈接到另一個他沒有足夠權限的子鍵功能。重新啟動服務后，他發(fā)現(xiàn)現(xiàn)在也可以修改密鑰。

研究人員意識到，只要從HKLM\Software\Wow6432Node\Valve\Steam\Apps下的子密鑰創(chuàng)建一個符號鏈接到一個安全的注冊表密鑰，然后重新啟動服務，就可以修改任何注冊表密鑰。

基于以上原理，該特權提升漏洞可以允許修改具有系統(tǒng)特權的服務，從而啟動具有更高權限的不同程序。

Felix披露了漏洞之后，另一位研究員Matt Nelson相繼發(fā)現(xiàn)enigma0x3別名下的權限升級漏洞，他在GitHub上共享了一個濫用該漏洞的概念驗證（PoC）腳本。

Nelson的PoC創(chuàng)建了一個HKLM:\SYSTEM\CurrentControlSet\Services\Steam客戶機服務的符號鏈接，這樣它就可以更改在重新啟動服務時啟動的可執(zhí)行文件。

如果PoC成功，將在后臺啟動具有管理權限的Windows命令提示符。此原理同樣適用于Valve的0Day漏洞。

Nelson和Felix在發(fā)現(xiàn)給問題后均第一時間向Vavle報告，但是都沒有得到官方修補漏洞的回復且拒絕給予二人相應的賞金獎勵。

參考來源：BleepingComputer

雷峰網原創(chuàng)文章，未經授權禁止轉載。詳情見轉載須知。