Abo
  • IT-Karriere:

Hackerone: Steam blockiert Sicherheitsforscher, statt Lücken zu patchen

Erst hat Valve eine Sicherheitslücke in Steam nicht anerkannt, dann sollte sie vertuscht werden. Nach ihrer Veröffentlichung wurde sie unzureichend gepatcht und der Entdecker vom Bug-Bounty-Programm ausgeschlossen. Nun hat der Forscher erneut eine Lücke gefunden - und Valve scheint langsam einzulenken.

Artikel veröffentlicht am ,
Sperren statt fixen - das scheint die Devise bei Steam zu sein.
Sperren statt fixen - das scheint die Devise bei Steam zu sein. (Bild: iirliinnaa/Pixabay)

Sicherheitsforscher Vasily Kravets hat eine weitere Sicherheitslücke im Spiele-Launcher Steam von Valve veröffentlicht. Die Lücke ermöglicht eine Ausweitung der Rechte, mit ihr kann beispielsweise Schadcode als Administrator ausgeführt werden. Über die Bug-Bounty-Plattform Hackerone konnte Kravets die Sicherheitslücke nicht an Valve melden, der Stea m-Hersteller hatte dort eine Sperre gegen ihn erwirkt. Daher veröffentlichte er die ungepatchte Sicherheitslücke in einem Blogeintrag.

Stellenmarkt
  1. Hochland SE, Heimenkirch, Schongau
  2. Biotrics Bioimplants GmbH, Berlin

Bereits Anfang August hatte der Forscher eine ungepatchte Sicherheitslücke zur Rechteausweitung im Steam-Client in einem Blogeintrag veröffentlicht. Diese hatte er jedoch zuvor über Hackerone an Valve gemeldet. In den Bedingungen des Bug-Bounty-Programmes schloss Valve allerdings Lücken zur Rechteausweitung aus und wollte diese nicht beheben. Auch einer Veröffentlichung der Informationen widersprach der Betreiber der Spieleplattform.

Erst auf die folgende Medienberichterstattung reagierte Valve und patchte die Sicherheitslücke - allerdings unzureichend: Sicherheitsforscher konnten den Patch umgehen - auch Kravets bestätigte, dass er die Lücke immer noch ausnutzen könne. Valve habe sich seit der Veröffentlichung mit keinem einzigen Wort bei ihm gemeldet, betont Kravets. Hackerone habe ihm einen umfangreichen Brief geschickt, aber sonst größtenteils geschwiegen. "Irgendwann eskalierten die Dinge mit Valve und ich wurde von ihnen auf Hackerone gesperrt - ich kann nicht mehr an ihrem Bug-Bounty-Programm teilnehmen (der Rest von Hackerone ist allerdings noch verfügbar)", erklärte der Sicherheitsforscher.

Noch eine Sicherheitslücke

Daher veröffentlichte Kravets erneut eine ungepatchte Rechteausweitung in einem Blogeintrag. Kravets konnte Steam über einen Symlink eine eigene DLL-Datei unterschieben, mit welcher er anschließend eine Konsole mit Administratorrechten öffnen konnte. Allerdings musste er zuvor noch einen Signaturcheck umgehen, der verhindern sollte, dass der Software eine andere DLL-Datei untergejubelt werden kann. Dies erreichte er, indem er mehrmals die echte DLL-Datei über Symlinks lud und erst beim sechsten Einlesen der Datei auf eine schädliche verwies.

Im Stillen reagierte Valve dann doch auf die Veröffentlichung: Die neue Sicherheitslücke wurde in der Beta-Version des Steam-Clients geschlossen und auch die Policy zu Sicherheitslücken geändert: Bisher erkannte Valve nur Remote-Sicherheitslücken in seinen Produkten an, nicht aber solche, bei der die eigene Software zur Rechteausweitung verwendet wurde. Für die Nutzer von Steam sind auch diese allerdings gefährlich. Beispielsweise kann eine Schadsoftware über eine Rechteausweitung Persistenz erlangen, Zugriff auf Daten von anderen Nutzern erlangen oder Sicherheitseinstellungen verändern oder deaktivieren. Da Valve solche Lücken nicht als sicherheitskritisch anerkannte, wurden sie oft auch nicht geschlossen. Nun hat Valve die Policy seines Bug-Bounty-Programmes geändert - vielleicht findet das Unternehmen in Zukunft ja zu einem besseren Umgang mit Sicherheitsforschern und -lücken.



Anzeige
Hardware-Angebote
  1. 49,70€
  2. (reduzierte Überstände, Restposten & Co.)
  3. täglich neue Deals bei Alternate.de

Wiki-Nger 10. Sep 2019 / Themenstart

Die wollen anscheinend Adobe Flash ablösen als mieseste Bugschleuder auf dem Planeten

crack_monkey 23. Aug 2019 / Themenstart

Meinst du mit Software, das eine 3. Hersteller Software die mit dem Symlink arbeiten soll...

masterx244 23. Aug 2019 / Themenstart

Der Fehler war dass die Datei geprüft wird und dann zum als DLL laden nochmal eingelesen...

Kommentieren


Folgen Sie uns
       


Asus Studiobook Pro X (Ifa 2019)

Das Studiobook Pro X ist mit Xeon-Prozessor, Quadro GPU und einem Preis von 4300 Euro eindeutig auf professionelle Anwender ausgerichtet.

Asus Studiobook Pro X (Ifa 2019) Video aufrufen
Party like it's 1999: Die 510 letzten Tage von Sega
Party like it's 1999
Die 510 letzten Tage von Sega

Golem retro_ Am 9.9.1999 kam in den USA mit der Sega Dreamcast die letzte Spielkonsole der 90er Jahre auf den Markt. Es sollte auch die letzte Spielkonsole von Sega werden. Aber das wusste zu diesem Zeitpunkt noch niemand.
Von Martin Wolf


    FX Tec Pro 1 im Hands on: Starkes Tastatur-Smartphone für 650 Euro
    FX Tec Pro 1 im Hands on
    Starkes Tastatur-Smartphone für 650 Euro

    Ifa 2019 Smartphones mit physischer Tastatur sind oft klobig - anders das Pro 1 des Startups FX Tec. Das Gerät bietet eine umfangreiche Tastatur mit gutem Druckpunkt und stabilem Slide-Mechanismus - wie es in einem ersten Kurztest beweist. Zusammengeklappt ist das Smartphone überraschend dünn.
    Ein Hands on von Tobias Költzsch

    1. Galaxy A90 5G Samsung präsentiert 5G-Smartphone für 750 Euro
    2. Huami Neue Amazfit-Smartwatches kommen nach Deutschland
    3. The Wall Luxury Samsungs Micro-LED-Display kostet 450.000 Euro

    How to von Randall Munroe: Alltagshilfen für die Nerd-Seele
    How to von Randall Munroe
    Alltagshilfen für die Nerd-Seele

    "Ein Buch voll schlechter Ideen" verspricht XKCD-Autor Randall Munroe mit seinem neuen Werk How to. Es bietet einfache Anleitungen für alltägliche Aufgaben wie Freunde zu finden. Was kann bei dem absurden Humor des Autors schon schief gehen? Genau: Nichts!
    Eine Rezension von Sebastian Grüner


        •  /