雷鋒網(wǎng)8月10消息，據(jù)外媒報(bào)道，Windows最受歡迎的游戲平臺(tái)Steam客戶端版本發(fā)現(xiàn)有0Day特權(quán)升級(jí)漏洞，該漏洞可允許具有有限權(quán)限的攻擊者以管理員身份運(yùn)行程序。

據(jù)悉，權(quán)限升級(jí)漏洞是應(yīng)用中的一個(gè)錯(cuò)誤操作程序，它使權(quán)限有限的用戶可以使用提升權(quán)限或管理權(quán)限啟動(dòng)可執(zhí)行文件。

考慮到Steam平臺(tái)擁有超過(guò)1億注冊(cè)用戶以及數(shù)百萬(wàn)潛在注冊(cè)用戶，因此這是一個(gè)嚴(yán)重的風(fēng)險(xiǎn)，可能被惡意軟件濫用以執(zhí)行各種不需要的活動(dòng)。

在昨天發(fā)布的一份報(bào)告中，安全研究員Felix分析了與Steam客戶端相關(guān)的Windows服務(wù)，其被稱作“Steam客戶端服務(wù)”。

他稱，啟動(dòng)時(shí)，此服務(wù)在Windows上以SYSTEM權(quán)限啟動(dòng)其可執(zhí)行文件。研究人員還注意到該服務(wù)可以由“用戶”組啟動(dòng)和停止，“用戶”組幾乎都是登錄計(jì)算機(jī)的人。

研究人員還發(fā)現(xiàn)當(dāng)服務(wù)啟動(dòng)和停止時(shí)，它為“用戶”組提供了對(duì)HKLM \ Software \ Wow6432Node \ Valve \ Steam \ Apps注冊(cè)表項(xiàng)下的子項(xiàng)的完全寫入權(quán)限。

起初，此服務(wù)的注冊(cè)表項(xiàng)不能由“用戶”組寫入，因此無(wú)法修改它以啟動(dòng)其他可執(zhí)行文件并將其權(quán)限提升為管理員。但經(jīng)過(guò)進(jìn)一步研究之后，F(xiàn)elix發(fā)現(xiàn)了用非常規(guī)手段將普通用戶權(quán)限提升至最高管理權(quán)限的方法：

“我創(chuàng)建了測(cè)試密鑰HKLM\Software\Wow6432Node\Valve\Steam\Apps\test，重新啟動(dòng)了服務(wù)(Procmon的日志在上面)，并檢查了注冊(cè)表密鑰權(quán)限。在這里我發(fā)現(xiàn)HKLM\SOFTWARE\Wow6432Node\Valve\Steam對(duì)‘用戶’組有明確的‘完全控制’權(quán)限，這些權(quán)限將繼承所有子鍵功能?！?/p>

假設(shè)RegSetKeySecurity設(shè)置了相同的權(quán)限，如果有符號(hào)鏈接，就會(huì)發(fā)生一些有趣的事情。我創(chuàng)建了從HKLM\SOFTWARE\ wow6432節(jié)點(diǎn)\Valve\Steam\Apps\test到HKLM\SOFTWARE\test2的鏈接，并重新啟動(dòng)了服務(wù)。

此后，F(xiàn)elix嘗試從這些子鍵功能鏈接到另一個(gè)他沒(méi)有足夠權(quán)限的子鍵功能。重新啟動(dòng)服務(wù)后，他發(fā)現(xiàn)現(xiàn)在也可以修改密鑰。

研究人員意識(shí)到，只要從HKLM\Software\Wow6432Node\Valve\Steam\Apps下的子密鑰創(chuàng)建一個(gè)符號(hào)鏈接到一個(gè)安全的注冊(cè)表密鑰，然后重新啟動(dòng)服務(wù)，就可以修改任何注冊(cè)表密鑰。

基于以上原理，該特權(quán)提升漏洞可以允許修改具有系統(tǒng)特權(quán)的服務(wù)，從而啟動(dòng)具有更高權(quán)限的不同程序。

Felix披露了漏洞之后，另一位研究員Matt Nelson相繼發(fā)現(xiàn)enigma0x3別名下的權(quán)限升級(jí)漏洞，他在GitHub上共享了一個(gè)濫用該漏洞的概念驗(yàn)證（PoC）腳本。

Nelson的PoC創(chuàng)建了一個(gè)HKLM:\SYSTEM\CurrentControlSet\Services\Steam客戶機(jī)服務(wù)的符號(hào)鏈接，這樣它就可以更改在重新啟動(dòng)服務(wù)時(shí)啟動(dòng)的可執(zhí)行文件。

如果PoC成功，將在后臺(tái)啟動(dòng)具有管理權(quán)限的Windows命令提示符。此原理同樣適用于Valve的0Day漏洞。

Nelson和Felix在發(fā)現(xiàn)給問(wèn)題后均第一時(shí)間向Vavle報(bào)告，但是都沒(méi)有得到官方修補(bǔ)漏洞的回復(fù)且拒絕給予二人相應(yīng)的賞金獎(jiǎng)勵(lì)。

參考來(lái)源：BleepingComputer

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。