image

Hackers kapen computer via Steam Browser

dinsdag 16 oktober 2012, 11:58 door Redactie, 4 reacties

Steam, het populaire online distributieplatform met 54 miljoen gebruikers, bevat verschillende lekken waardoor aanvallers kwaadaardige scripts kunnen uitvoeren en zelfs de computer kunnen overnemen. Via Steam kunnen consumenten computerspellen kopen en spelen. De kwetsbaarheden werden ontdekt door de Italiaanse beveiligingsonderzoekers Luigi Auriemma en Donato Ferrante.

Steam gebruikt een eigen URL-handler om bepaalde webfunctionaliteit direct in het eigen platform te verwerken. De Steam URLs, die beginnen met steam:// worden verwerkt door de Steam Browser.

Het is mogelijk om Safari, MaxThon en Firefox en andere browsers die op de Mozilla engine zijn gebaseerd, stilletjes deze Steam URLs te laten aanroepen. Bij andere browsers kan dit ook, maar verschijnt er een waarschuwing. Daarom zijn Firefox, Safari en MaxThon perfect voor het laten uitvoeren van de aanval, zo merken de onderzoekers op.


Aanval
Is de kwaadaardige Steam-URL geladen, dan zijn verschillende opties mogelijk. Zo kan er een .bat bestand worden aangemaakt dat in de Opstarten map van het gebruikersaccount wordt geplaatst. Een andere optie is het laden van content door spellen die op de Unreal engine zijn gebaseerd.

Deze engine bevat volgens de onderzoekers veel beveiligingslekken en hun voor het gedemonstreerde scenario werd een echte kwetsbaarheid gebruikt. Het lek veroorzaakt een integer overflow. Via een directory traversal-aanval op de automatische update feature van de spellen MicroVolts en All Points Bulletin is het mogelijk om elk willekeurig bestand te overschrijven.

Oplossing
De onderzoekers doen verschillende aanbevelingen aan zowel Valve, dat Steam ontwikkelde en aanbiedt, als consumenten. De laatste groep krijgt het advies om de steam:// URL handler uit te schakelen of een browser te gebruiken die het Steam Browser protocol niet direct uitvoert. Hieronder een demonstratie van de aanval.

Reacties (4)
16-10-2012, 13:02 door Anoniem
En nu de hamvraag: hoe moeten consumenten de steam:// URL handler uitschakelen?
16-10-2012, 13:46 door [Account Verwijderd]
[Verwijderd]
16-10-2012, 14:39 door Anoniem
"En nu de hamvraag: hoe moeten consumenten de steam:// URL handler uitschakelen?"

Het beantwoorden van je vraag duurde een seconde of vijf, via Google ;)

URLProtocolView v1.15 - View/Enable/Disable URL protocolsCopyright (c) 2007 - 2009 Nir Sofer
http://www.nirsoft.net/utils/url_protocol_view.html
16-10-2012, 16:10 door Anoniem
"En nu de hamvraag: hoe moeten consumenten de steam:// URL handler uitschakelen?"

Ik vermoed voor firefox via :

about:config

Search: network.protocol-handler

selecteer de gewraakte handler en toggle naar false

(niet uitgetest, heb geen Steam app)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.