Forscher: Steam URL-Protokoll kann missbraucht werden, um Spielschwachstellen auszunutzen

Angreifer können die Art und Weise missbrauchen, wie Browser und andere Anwendungen mit Steam umgehen: // Protokoll-URLs, um ernsthafte Sicherheitslücken im Steam-Client oder über die Plattform installierte Spiele auszunutzen Startup Vulnerability Research- und Beratungsunternehmen ReVuln.

Steam ist eine beliebte Plattform für digitale Distribution und digitale Rechteverwaltung für Spiele und seit Anfang dieses Monats auch für andere Softwareprodukte. Laut Valve Corporation, dem Unternehmen, das die Plattform entwickelt und betreibt, bietet Steam über 2.000 Titel und über 40 Millionen aktive Accounts.

Der Steam-Client kann unter Windows, Mac OS X und Linux ausgeführt werden, allerdings nur als Beta-Version in letzterem Betriebssystem.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Wenn der Steam-Client auf einem System installiert ist, registriert er sich selbst als dampf: // URL-Protokoll-Handler. Dies bedeutet, dass jedes Mal, wenn ein Benutzer auf eine dampf: // URL in einem Browser oder einer anderen Anwendung klickt, die URL zur Ausführung an den Steam-Client übergeben wird.

Steam: // URLs können Steam-Protokollbefehle enthalten, die installiert werden sollen deinstalliere Spiele, aktualisiere Spiele, starte Spiele mit bestimmten Parametern, sichere Dateien oder führe andere unterstützte Aktionen aus.

Angreifer können diese Befehle missbrauchen, um Sicherheitslücken im Steam-Client oder den auf einem System installierten Steam-Spielen auszunutzen, indem sie Benutzer dazu bringen, sie böswillig zu öffnen dampfed: // URLs, ReVuln Sicherheitsforscher und Gründer Luigi Auriemma und Donato Ferrante sagte in der am Montag veröffentlichten Forschungsarbeit.

Das Problem ist, dass einige Browser und Anwendungen automatisch Steam: // URLs an den Steam-Client übergeben, ohne danach zu fragen Bestätigung der Nutzer, sagten die Forscher. Andere Browser fordern zwar eine Benutzerbestätigung an, zeigen aber nicht die vollständigen URLs an oder warnen vor der Gefahr, dass solche URLs ausgeführt werden.

Laut Tests der ReVuln-Forscher zeigen Internet Explorer 9, Google Chrome und Opera Warnungen an und die vollständigen oder teilweise dampf: // URLs, bevor sie zur Ausführung an den Steam-Client übergeben werden. Firefox fordert auch Benutzerbestätigung an, zeigt aber keine URL an und gibt keine Warnung aus, während Safari automatisch URLs ohne Benutzerbestätigung ausführt, sagten die Forscher.

"Alle Browser, die externe URL-Handler direkt ohne Warnungen ausführen und solche, die auf der Mozilla-Engine basieren (wie Firefox und SeaMonkey) sind ein perfekter Vektor, um stille Steam-Browser-Protokoll-Aufrufe auszuführen ", sagten die Forscher. "Zusätzlich ist es für Browser wie Internet Explorer und Opera immer noch möglich, den zwielichtigen Teil der URL in der Warnmeldung zu verbergen, indem mehrere Leerzeichen in die dampf: // URL selbst eingefügt werden."

Abgesehen davon, Benutzer manuell zu betrügen klicke auf Rogue Steam: // URLs, Angreifer können JavaScript-Code verwenden, der auf bösartigen Seiten geladen wird, um Browser an solche URLs umzuleiten, sagte Luigi Auriemma Dienstag per E-Mail.

Browser, die eine Bestätigung des Benutzers für dampf erfordern: // URL-Ausführung standardmäßig bietet Benutzern die Möglichkeit, dieses Verhalten zu ändern und die URLs automatisch vom Steam-Client ausführen zu lassen, so Auriemma. "Es ist sehr gut möglich, dass viele Spieler die dampf: // Links direkt im Browser ausführen lassen, um den Ärger zu vermeiden, sie immer wieder zu bestätigen."

Ein Screenshot aus dem von ReVuln erstellten Proof-of-Concept-Video zeigt, wie Angreifer die Art und Weise, wie Browser und andere Anwendungen mit stream umgehen, missbrauchen: // Protokoll-URLs

Die Forscher haben ein Video veröffentlicht, in dem sie demonstrieren, wie mit dampf: // URLs Sicherheitslücken im Steam-Client ausgenutzt werden können und populäre Spiele.

Zum Beispiel kann der Befehl "retailinstall" des Steam-Protokolls verwendet werden, um eine fehlerhafte TGA-Splash-Image-Datei zu laden, die eine Sicherheitslücke im Steam-Client ausnutzt, um im Kontext ihres Prozesses bösartigen Code auszuführen.

In einem anderen Beispiel kann eine "steam: //" -URL verwendet werden, um legitime Befehle auszuführen, die in der Source-Engine von Valve zu finden sind, um eine.bat-Datei mit vom Angreifer kontrollierten Inhalten innerhalb des Windows-Autostart-Ordners zu schreiben. Dateien, die sich im Windows Startup-Verzeichnis befinden, werden automatisch ausgeführt, wenn sich Benutzer anmelden.

Die Source-Spielengine wird in vielen populären Spielen wie Half-Life, Counter-Strike und Team Fortress verwendet, die zig Millionen Spieler haben.

Eine andere populäre Spiel-Engine namens Unreal unterstützt das Laden von Dateien aus entfernten freigegebenen WebDAV- oder SMB-Verzeichnissen über Befehlszeilenparameter. Eine bösartige dampf: // URL kann verwendet werden, um eine bösartige Datei von einem solchen Ort zu laden, der eine der vielen Integer-Überlauf-Schwachstellen ausnutzt, die in der Engine gefunden wurden, um bösartigen Code auszuführen, sagten die ReVuln-Forscher.

Das automatische Update Features wie APB Reloaded oder MicroVolts können auch über dampf: // URLs zum Erstellen von Dateien mit von Angreifern kontrollierten Inhalten auf der Festplatte missbraucht werden.

Um sich selbst zu schützen, können Benutzer das dampf: // URL-Protokoll deaktivieren Handler manuell oder mit einer spezialisierten Anwendung, oder kann einen Browser verwenden, der nicht automatisch Dampf ausführt: // URLs, sagte Auriemma. "Der Nachteil ist, dass die Spieler, die diese Links lokal (Verknüpfungen) oder online (Webbrowser) verwenden, um Servern beizutreten oder andere Funktionen dieses Protokolls zu verwenden, nicht in der Lage sind, sie zu verwenden."

Da Safari einer der Browser ist führt automatisch dampf: // URLs aus, Mac OS X-Benutzer, die den Großteil der Benutzerbasis des Browsers darstellen, könnten solchen Angriffen stärker ausgesetzt sein. "Mac OS ist die sekundäre Plattform, die auf Steam verwendet wird und viele Spiele sind für diese Plattform verfügbar, so dass es eine breite Benutzerbasis hat", sagte Auriemma.

"Valve muss unserer Meinung nach die Übergabe von Kommandozeilenparametern an Spiele entfernen es ist zu gefährlich und sie können nicht kontrollieren, wie diese Software von Drittanbietern mit fehlerhaften Parametern arbeiten kann ", sagte der Forscher.

Valve hat nicht sofort eine Anfrage nach einem Kommentar zurückgeschickt.

Anfang dieses Monats begann Valve, Select Non zu verteilen -Gaming von Softwaretiteln über Steam. Sicherheitslücken, die in solchen Anwendungen gefunden werden, könnten auch durch dampf: // URLs ausgenutzt werden, sagte Auriemma.

"In den letzten Monaten hat Valve viel in die Steam-Plattform investiert und die Beta-Version von Steam für Linux eingeführt Sie können abstimmen, welche Spiele sie auf Steam sehen möchten, die Software-Sektion hinzugefügt, weitere Spiele und einige hervorgehobene Spiele hinzugefügt, die für begrenzte Zeit verfügbar sind, Tonnen von kostenlosen Spielen und vieles mehr ", sagte der Forscher. "Es gab keinen besseren Zeitpunkt, diese Probleme zu bemerken als jetzt."