• IT-Karriere:
  • Services:

Hackerone: Steam blockiert Sicherheitsforscher, statt Lücken zu patchen

Erst hat Valve eine Sicherheitslücke in Steam nicht anerkannt, dann sollte sie vertuscht werden. Nach ihrer Veröffentlichung wurde sie unzureichend gepatcht und der Entdecker vom Bug-Bounty-Programm ausgeschlossen. Nun hat der Forscher erneut eine Lücke gefunden - und Valve scheint langsam einzulenken.

Artikel veröffentlicht am ,
Sperren statt fixen - das scheint die Devise bei Steam zu sein.
Sperren statt fixen - das scheint die Devise bei Steam zu sein. (Bild: iirliinnaa/Pixabay)

Sicherheitsforscher Vasily Kravets hat eine weitere Sicherheitslücke im Spiele-Launcher Steam von Valve veröffentlicht. Die Lücke ermöglicht eine Ausweitung der Rechte, mit ihr kann beispielsweise Schadcode als Administrator ausgeführt werden. Über die Bug-Bounty-Plattform Hackerone konnte Kravets die Sicherheitslücke nicht an Valve melden, der Stea m-Hersteller hatte dort eine Sperre gegen ihn erwirkt. Daher veröffentlichte er die ungepatchte Sicherheitslücke in einem Blogeintrag.

Stellenmarkt
  1. über duerenhoff GmbH, Wiesbaden
  2. OEDIV KG, Bielefeld

Bereits Anfang August hatte der Forscher eine ungepatchte Sicherheitslücke zur Rechteausweitung im Steam-Client in einem Blogeintrag veröffentlicht. Diese hatte er jedoch zuvor über Hackerone an Valve gemeldet. In den Bedingungen des Bug-Bounty-Programmes schloss Valve allerdings Lücken zur Rechteausweitung aus und wollte diese nicht beheben. Auch einer Veröffentlichung der Informationen widersprach der Betreiber der Spieleplattform.

Erst auf die folgende Medienberichterstattung reagierte Valve und patchte die Sicherheitslücke - allerdings unzureichend: Sicherheitsforscher konnten den Patch umgehen - auch Kravets bestätigte, dass er die Lücke immer noch ausnutzen könne. Valve habe sich seit der Veröffentlichung mit keinem einzigen Wort bei ihm gemeldet, betont Kravets. Hackerone habe ihm einen umfangreichen Brief geschickt, aber sonst größtenteils geschwiegen. "Irgendwann eskalierten die Dinge mit Valve und ich wurde von ihnen auf Hackerone gesperrt - ich kann nicht mehr an ihrem Bug-Bounty-Programm teilnehmen (der Rest von Hackerone ist allerdings noch verfügbar)", erklärte der Sicherheitsforscher.

Noch eine Sicherheitslücke

Daher veröffentlichte Kravets erneut eine ungepatchte Rechteausweitung in einem Blogeintrag. Kravets konnte Steam über einen Symlink eine eigene DLL-Datei unterschieben, mit welcher er anschließend eine Konsole mit Administratorrechten öffnen konnte. Allerdings musste er zuvor noch einen Signaturcheck umgehen, der verhindern sollte, dass der Software eine andere DLL-Datei untergejubelt werden kann. Dies erreichte er, indem er mehrmals die echte DLL-Datei über Symlinks lud und erst beim sechsten Einlesen der Datei auf eine schädliche verwies.

Im Stillen reagierte Valve dann doch auf die Veröffentlichung: Die neue Sicherheitslücke wurde in der Beta-Version des Steam-Clients geschlossen und auch die Policy zu Sicherheitslücken geändert: Bisher erkannte Valve nur Remote-Sicherheitslücken in seinen Produkten an, nicht aber solche, bei der die eigene Software zur Rechteausweitung verwendet wurde. Für die Nutzer von Steam sind auch diese allerdings gefährlich. Beispielsweise kann eine Schadsoftware über eine Rechteausweitung Persistenz erlangen, Zugriff auf Daten von anderen Nutzern erlangen oder Sicherheitseinstellungen verändern oder deaktivieren. Da Valve solche Lücken nicht als sicherheitskritisch anerkannte, wurden sie oft auch nicht geschlossen. Nun hat Valve die Policy seines Bug-Bounty-Programmes geändert - vielleicht findet das Unternehmen in Zukunft ja zu einem besseren Umgang mit Sicherheitsforschern und -lücken.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. ab 1€
  2. 34,99€ (Vergleichspreis 79€)
  3. 573,08€ (mit Rabattgutschein - Vergleichspreis 604€)
  4. (u. a. Samsung Galaxy Tab S6 T860 für 570€, Spirituosen günstiger, Xiaomi Smartphones...

Wiki-Nger 10. Sep 2019

Die wollen anscheinend Adobe Flash ablösen als mieseste Bugschleuder auf dem Planeten

crack_monkey 23. Aug 2019

Meinst du mit Software, das eine 3. Hersteller Software die mit dem Symlink arbeiten soll...

masterx244 23. Aug 2019

Der Fehler war dass die Datei geprüft wird und dann zum als DLL laden nochmal eingelesen...


Folgen Sie uns
       


Projekt Mare - DLR

Helga und Zohar sind zwei anthropomorphe Phantome, ihre Körper simulieren die Struktur des menschlichen Gewebes. DLR-Forscher wollen messen, wie sich die Strahlung auf den Körper auswirkt.

Projekt Mare - DLR Video aufrufen
Realme X50 Pro im Test: Der Oneplus-Killer
Realme X50 Pro im Test
Der Oneplus-Killer

Oneplus bezeichnete sich einst als "Flagship-Killer", mittlerweile stellt sich die Frage, wer hier für wen gefährlich wird: Das X50 Pro des Schwesterunternehmens Realme ist ein wahrer "Oneplus-Killer".
Ein Test von Tobias Költzsch

  1. Astro Slide Neues 5G-Smartphone mit aufschiebbarer Tastatur
  2. Galaxy S20 Ultra im Test Samsung beherrscht den eigenen Kamerasensor nicht
  3. Red Magic 5G Neues 5G-Gaming-Smartphone kommt mit 144-Hz-Display

Corona: Der Staat muss uns vor der Tracing-App schützen
Corona
Der Staat muss uns vor der Tracing-App schützen

Politiker wie Axel Voss fordern "Anreize" für die Nutzung der Corona-App. Doch das schafft nicht das notwendige Vertrauen in die staatliche Technik.
Ein Gastbeitrag von Stefan Brink und Clarissa Henning

  1. Schnittstelle installiert Android-Handys sind bereit für die Corona-Apps
  2. Corona-App Google und Apple stellen Bluetooth-API bereit
  3. Coronapandemie Quarantäne-App soll Gesundheitsämter entlasten

NXNSAttack: Effizienter Angriff auf Nameserver
NXNSAttack
Effizienter Angriff auf Nameserver

Eine neue Form von Denial-of-Service-Angriff nutzt die DNS-Architektur, um mit wenig Aufwand viel Serverlast und Traffic zu erzeugen.
Von Hanno Böck

  1. Microsoft Vorschau auf DNS over HTTPS in Windows verfügbar
  2. DNS Kanadische Internet Registry führt DNS-Dienst mit DoH ein
  3. Iana Defekter Tresor verzögert DNSSEC-Root-Key-Zeremonie

    •  /