Hackerone: Steam blockiert Sicherheitsforscher, statt Lücken zu patchen

Erst hat Valve eine Sicherheitslücke in Steam nicht anerkannt, dann sollte sie vertuscht werden. Nach ihrer Veröffentlichung wurde sie unzureichend gepatcht und der Entdecker vom Bug-Bounty-Programm ausgeschlossen. Nun hat der Forscher erneut eine Lücke gefunden - und Valve scheint langsam einzulenken.

Artikel veröffentlicht am ,
Sperren statt fixen - das scheint die Devise bei Steam zu sein.
Sperren statt fixen - das scheint die Devise bei Steam zu sein. (Bild: iirliinnaa/Pixabay)

Sicherheitsforscher Vasily Kravets hat eine weitere Sicherheitslücke im Spiele-Launcher Steam von Valve veröffentlicht. Die Lücke ermöglicht eine Ausweitung der Rechte, mit ihr kann beispielsweise Schadcode als Administrator ausgeführt werden. Über die Bug-Bounty-Plattform Hackerone konnte Kravets die Sicherheitslücke nicht an Valve melden, der Stea m-Hersteller hatte dort eine Sperre gegen ihn erwirkt. Daher veröffentlichte er die ungepatchte Sicherheitslücke in einem Blogeintrag.

Stellenmarkt
  1. IT-Systembetreuerin/IT-Syste- mbetreuer (m/w/d)
    FFG Fahrzeugwerkstätten Falkenried GmbH, Hamburg
  2. Informatiker*in (m/w/d) Schwerpunkt Gesundheitstelematik
    KBV Kassenärztliche Bundesvereinigung, Berlin
Detailsuche

Bereits Anfang August hatte der Forscher eine ungepatchte Sicherheitslücke zur Rechteausweitung im Steam-Client in einem Blogeintrag veröffentlicht. Diese hatte er jedoch zuvor über Hackerone an Valve gemeldet. In den Bedingungen des Bug-Bounty-Programmes schloss Valve allerdings Lücken zur Rechteausweitung aus und wollte diese nicht beheben. Auch einer Veröffentlichung der Informationen widersprach der Betreiber der Spieleplattform.

Erst auf die folgende Medienberichterstattung reagierte Valve und patchte die Sicherheitslücke - allerdings unzureichend: Sicherheitsforscher konnten den Patch umgehen - auch Kravets bestätigte, dass er die Lücke immer noch ausnutzen könne. Valve habe sich seit der Veröffentlichung mit keinem einzigen Wort bei ihm gemeldet, betont Kravets. Hackerone habe ihm einen umfangreichen Brief geschickt, aber sonst größtenteils geschwiegen. "Irgendwann eskalierten die Dinge mit Valve und ich wurde von ihnen auf Hackerone gesperrt - ich kann nicht mehr an ihrem Bug-Bounty-Programm teilnehmen (der Rest von Hackerone ist allerdings noch verfügbar)", erklärte der Sicherheitsforscher.

Noch eine Sicherheitslücke

Daher veröffentlichte Kravets erneut eine ungepatchte Rechteausweitung in einem Blogeintrag. Kravets konnte Steam über einen Symlink eine eigene DLL-Datei unterschieben, mit welcher er anschließend eine Konsole mit Administratorrechten öffnen konnte. Allerdings musste er zuvor noch einen Signaturcheck umgehen, der verhindern sollte, dass der Software eine andere DLL-Datei untergejubelt werden kann. Dies erreichte er, indem er mehrmals die echte DLL-Datei über Symlinks lud und erst beim sechsten Einlesen der Datei auf eine schädliche verwies.

Golem Akademie
  1. C++ Programmierung Grundlagen (keine Vorkenntnisse benötigt): virtueller Drei-Tage-Workshop
    01.-03.08.2022, virtuell
  2. Elastic Stack Fundamentals – Elasticsearch, Logstash, Kibana, Beats: virtueller Drei-Tage-Workshop
    14.-16.06.2022, Virtuell
Weitere IT-Trainings

Im Stillen reagierte Valve dann doch auf die Veröffentlichung: Die neue Sicherheitslücke wurde in der Beta-Version des Steam-Clients geschlossen und auch die Policy zu Sicherheitslücken geändert: Bisher erkannte Valve nur Remote-Sicherheitslücken in seinen Produkten an, nicht aber solche, bei der die eigene Software zur Rechteausweitung verwendet wurde. Für die Nutzer von Steam sind auch diese allerdings gefährlich. Beispielsweise kann eine Schadsoftware über eine Rechteausweitung Persistenz erlangen, Zugriff auf Daten von anderen Nutzern erlangen oder Sicherheitseinstellungen verändern oder deaktivieren. Da Valve solche Lücken nicht als sicherheitskritisch anerkannte, wurden sie oft auch nicht geschlossen. Nun hat Valve die Policy seines Bug-Bounty-Programmes geändert - vielleicht findet das Unternehmen in Zukunft ja zu einem besseren Umgang mit Sicherheitsforschern und -lücken.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Wiki-Nger 10. Sep 2019

Die wollen anscheinend Adobe Flash ablösen als mieseste Bugschleuder auf dem Planeten

crack_monkey 23. Aug 2019

Meinst du mit Software, das eine 3. Hersteller Software die mit dem Symlink arbeiten soll...

masterx244 23. Aug 2019

Der Fehler war dass die Datei geprüft wird und dann zum als DLL laden nochmal eingelesen...



Aktuell auf der Startseite von Golem.de
Xiaomi Watch S1 Active im Test
Wenn sich beim Joggen der Schlafmodus meldet

Eine günstige Sportuhr mit gutem GPS-Modul - das wäre was! Leider hat die Watch S1 Active von Xiaomi zu viele Schwächen, um Spaß zu machen.
Von Peter Steinlechner

Xiaomi Watch S1 Active im Test: Wenn sich beim Joggen der Schlafmodus meldet
Artikel
  1. LTE-Patent: Ford droht Verkaufs- und Produktionsverbot in Deutschland
    LTE-Patent
    Ford droht Verkaufs- und Produktionsverbot in Deutschland

    Ford fehlen Mobilfunk-Patentlizenzen, weshalb das Landgericht München eine drastische Entscheidung gefällt hat. Autos droht sogar die Vernichtung.

  2. Strange New Worlds Folge 1 bis 3: Star Trek - The Latest Generation
    Strange New Worlds Folge 1 bis 3
    Star Trek - The Latest Generation

    Strange New Worlds kehrt zu episodenhaften Geschichten zurück und will damit Star-Trek-Fans alter Schule abholen. Das gelingt mit Bravour. Achtung, Spoiler!
    Eine Rezension von Oliver Nickel

  3. Flowcamper: Elektro-Wohnmobil Frieda Volt auf VW-Basis vorgestellt
    Flowcamper
    Elektro-Wohnmobil Frieda Volt auf VW-Basis vorgestellt

    Das elektrische Wohnmobil Frieda Volt basiert auf einem umgebauten Volkswagen T5 oder T6 und ist mit einem 72-kWh-Akku ausgerüstet.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Acer Predator X38S (UWQHD, 175 Hz OC) 1.499€ • MindStar (u. a. AMD Ryzen 7 5700X 268€ und PowerColor RX 6750 XT Red Devil 609€ und RX 6900 XT Red Devil Ultimate 949€) • CW: Top-Rabatte auf PC-Komponenten • Crucial P5 Plus 2 TB 229,99€ • Preis-Tipp: Kingston NV1 2 TB 129,90€ [Werbung]
    •  /