01.06.2018 12:24

Steam przez 10 lat był trojanem

Luka w kliencie Steam przez dobrą dekadę pozwalała hakerom na proste uruchamianie na komputerach ofiary własnego kodu. Teraz, po częściowym naprawieniu błędu, muszą w tym celu się trochę postarać.

klient Steam
foto: kadr z wideo

Valve zazdrośnie strzeże tajemnic Steama, pilnując uważnie, żeby szczegóły dotyczące rozwiązań zastosowanych na platformie nie zostały ujawnione.

Hakerzy potrafią jednak być naprawdę uparci – dzięki latom ich pracy udało się odtworzyć zasady działania protokołów oraz podejrzeć, jak dokładnie działa klient. Jak się okazało, w tej wiedzy krył się sposób na wykorzystanie Steama do przejęcia zdalnej kontroli nad komputerem, na którym był zainstalowany.

Odkryciem tego faktu podzieli się specjaliści z zajmującej się bezpieczeństwem oprogramowania firmy Contex. Zrobili to w pełni profesjonalnie, upewniając się wcześniej, że luka została już przez Valve załatana.

Odnaleziona podatność została określona jako „bardzo prosty błąd, który można było wykorzystać w relatywnie prosty sposób przez brak nowoczesnych zabezpieczeń w kodzie”.

Luka była obecna w kliencie Steama od 2008 roku – udało się ją odkryć bazując na informacjach o platformie, które zostały właśnie wtedy odszyfrowane.

Na filmie pokazano, jak przy korzystaniu z błędu uruchomić systemowy kalkulator – równie dobrze może to być jednak złośliwe oprogramowanie, pozwalające na pełne przejęcie kontroli nad komputerem.

Steam naprawiony, ale nie do końca

Contex donosi, że prezentowaną na nagraniu wersję błędu udało się naprawić przez doklejenie do kodu współczesnych zabezpieczeń. Zagrożenie nie zostało jednak wyeliminowane całkowicie – próba jego wykorzystania zakończy się jednak zawieszeniem klienta, a jeśli tę podatność wykorzysta się podczas ataku z użyciem innego ujawnionego błędu, w dalszym ciągu istnieje niebezpieczeństwo uruchomienia dowolnego kodu.

Pierwotny błąd został naprawiony przez Valve w 12 godzin po jego zgłoszeniu – zaktualizowany kod został wprowadzony do klienta Steam w marcu 2018 roku.

Brak informacji, czy luka w kliencie Steam była aktywnie wykorzystywana.

Korzystacie ze Steama?

Michał Tomaszkiewicz
Tagi: #Komputery