Abo
  • IT-Karriere:

Hackerone: Steam blockiert Sicherheitsforscher, statt Lücken zu patchen

Erst hat Valve eine Sicherheitslücke in Steam nicht anerkannt, dann sollte sie vertuscht werden. Nach ihrer Veröffentlichung wurde sie unzureichend gepatcht und der Entdecker vom Bug-Bounty-Programm ausgeschlossen. Nun hat der Forscher erneut eine Lücke gefunden - und Valve scheint langsam einzulenken.

Artikel veröffentlicht am ,
Sperren statt fixen - das scheint die Devise bei Steam zu sein.
Sperren statt fixen - das scheint die Devise bei Steam zu sein. (Bild: iirliinnaa/Pixabay)

Sicherheitsforscher Vasily Kravets hat eine weitere Sicherheitslücke im Spiele-Launcher Steam von Valve veröffentlicht. Die Lücke ermöglicht eine Ausweitung der Rechte, mit ihr kann beispielsweise Schadcode als Administrator ausgeführt werden. Über die Bug-Bounty-Plattform Hackerone konnte Kravets die Sicherheitslücke nicht an Valve melden, der Stea m-Hersteller hatte dort eine Sperre gegen ihn erwirkt. Daher veröffentlichte er die ungepatchte Sicherheitslücke in einem Blogeintrag.

Stellenmarkt
  1. Joyson Safety Systems Aschaffenburg GmbH, Berlin
  2. über experteer GmbH, Stuttgart

Bereits Anfang August hatte der Forscher eine ungepatchte Sicherheitslücke zur Rechteausweitung im Steam-Client in einem Blogeintrag veröffentlicht. Diese hatte er jedoch zuvor über Hackerone an Valve gemeldet. In den Bedingungen des Bug-Bounty-Programmes schloss Valve allerdings Lücken zur Rechteausweitung aus und wollte diese nicht beheben. Auch einer Veröffentlichung der Informationen widersprach der Betreiber der Spieleplattform.

Erst auf die folgende Medienberichterstattung reagierte Valve und patchte die Sicherheitslücke - allerdings unzureichend: Sicherheitsforscher konnten den Patch umgehen - auch Kravets bestätigte, dass er die Lücke immer noch ausnutzen könne. Valve habe sich seit der Veröffentlichung mit keinem einzigen Wort bei ihm gemeldet, betont Kravets. Hackerone habe ihm einen umfangreichen Brief geschickt, aber sonst größtenteils geschwiegen. "Irgendwann eskalierten die Dinge mit Valve und ich wurde von ihnen auf Hackerone gesperrt - ich kann nicht mehr an ihrem Bug-Bounty-Programm teilnehmen (der Rest von Hackerone ist allerdings noch verfügbar)", erklärte der Sicherheitsforscher.

Noch eine Sicherheitslücke

Daher veröffentlichte Kravets erneut eine ungepatchte Rechteausweitung in einem Blogeintrag. Kravets konnte Steam über einen Symlink eine eigene DLL-Datei unterschieben, mit welcher er anschließend eine Konsole mit Administratorrechten öffnen konnte. Allerdings musste er zuvor noch einen Signaturcheck umgehen, der verhindern sollte, dass der Software eine andere DLL-Datei untergejubelt werden kann. Dies erreichte er, indem er mehrmals die echte DLL-Datei über Symlinks lud und erst beim sechsten Einlesen der Datei auf eine schädliche verwies.

Im Stillen reagierte Valve dann doch auf die Veröffentlichung: Die neue Sicherheitslücke wurde in der Beta-Version des Steam-Clients geschlossen und auch die Policy zu Sicherheitslücken geändert: Bisher erkannte Valve nur Remote-Sicherheitslücken in seinen Produkten an, nicht aber solche, bei der die eigene Software zur Rechteausweitung verwendet wurde. Für die Nutzer von Steam sind auch diese allerdings gefährlich. Beispielsweise kann eine Schadsoftware über eine Rechteausweitung Persistenz erlangen, Zugriff auf Daten von anderen Nutzern erlangen oder Sicherheitseinstellungen verändern oder deaktivieren. Da Valve solche Lücken nicht als sicherheitskritisch anerkannte, wurden sie oft auch nicht geschlossen. Nun hat Valve die Policy seines Bug-Bounty-Programmes geändert - vielleicht findet das Unternehmen in Zukunft ja zu einem besseren Umgang mit Sicherheitsforschern und -lücken.



Anzeige
Top-Angebote
  1. 139€
  2. (u. a. AMD Ryzen + ASUS-X570-Mainboard kaufen und bis zu 125€ sparen)
  3. (u. a. Hunt Showdown für 29,99€, Forza Motorsport 7 für 28,49€ und Hitman 2 für 14,49€)
  4. (heute u. a. Xbox One Bundles mit FIFA 20)

Wiki-Nger 10. Sep 2019 / Themenstart

Die wollen anscheinend Adobe Flash ablösen als mieseste Bugschleuder auf dem Planeten

crack_monkey 23. Aug 2019 / Themenstart

Meinst du mit Software, das eine 3. Hersteller Software die mit dem Symlink arbeiten soll...

masterx244 23. Aug 2019 / Themenstart

Der Fehler war dass die Datei geprüft wird und dann zum als DLL laden nochmal eingelesen...

Kommentieren


Folgen Sie uns
       


Asus Zephyrus G GA502 - Test

Sparsamer Sprinter mit dunklem Display: das Zephyrus G GA502 im Test.

Asus Zephyrus G GA502 - Test Video aufrufen
Geothermie: Wer auf dem Vulkan wohnt, muss nicht so tief bohren
Geothermie
Wer auf dem Vulkan wohnt, muss nicht so tief bohren

Die hohen Erwartungen haben Geothermie-Kraftwerke bisher nicht erfüllt. Weltweit setzen trotzdem immer mehr Länder auf die Wärme aus der Tiefe - nicht alle haben es dabei leicht.
Ein Bericht von Jan Oliver Löfken

  1. Nachhaltigkeit Jute im Plastik
  2. Nachhaltigkeit Bauen fürs Klima
  3. Autos Elektro, Brennstoffzelle oder Diesel?

Elektrautos auf der IAA: Die Gezeigtwagen-Messe
Elektrautos auf der IAA
Die Gezeigtwagen-Messe

IAA 2019 Viele klassische Hersteller fehlen bei der IAA oder zeigen Autos, die man längst gesehen hat. Bei den Elektroautos bekommen alltagstaugliche Modelle wie VW ID.3, Opel Corsa E und Honda E viel Aufmerksamkeit.
Ein Bericht von Dirk Kunde

  1. Elektromobilität Stromwirtschaft will keine Million öffentlicher Ladesäulen
  2. Umfrage Kunden fühlen sich vor Elektroautokauf schlecht beraten
  3. Batterieprobleme Auslieferung des e.Go verzögert sich

Innovationen auf der IAA: Vom Abbiegeassistenten bis zum Solarglasdach
Innovationen auf der IAA
Vom Abbiegeassistenten bis zum Solarglasdach

IAA 2019 Auf der IAA in Frankfurt sieht man nicht nur neue Autos, sondern auch etliche innovative Anwendungen und Bauteile. Zulieferer und Forscher präsentieren in Frankfurt ihre Ideen. Eine kleine Auswahl.
Ein Bericht von Dirk Kunde

  1. E-Auto Byton zeigt die Produktionsversion des M-Byte

    •  /