Valve potpuno ignorisao Steam sigurnosni propust

Valve potpuno ignorisao Steam sigurnosni propust

Tzv. ‘zero-day’ propust je propust koji je vrlo poznat developeru, ali je ignorisan od strane developera i kasnije ispravljen. Zero-day propust također ima veliki potencijal da bude predmet i cilj napada hakera, jer se takav propust većinom javno iznosi.

Ozbiljan sigurnostni propust je pronađen u Valveovom Steam paketu. Istraživač po imenu Vasily Kravets je javno objavio informacije o zero-day propustu koji je dio Windows verzije samog Steam paketa, a čija je prijava ignorisana od strane Valve Software-a.

S obzirom da ovaj sigurnosni propust nije bio ispravljen, te da je većina ‘hakera’ znala za njega, svi sposobni za iskorištavanje ovog propusta su vrlo jednostavno uspjeli da pronađu i manipulišu samim registry ključevima Steam aplikacije. Dakle, sami napadači/hakeri su mogli da koriste i manipulišu sa Steam Client servisom koji je dio instalacionog paketa Steam aplikacije na Windows operativnom sistemu. Vrlo jednostavnim upisivanjem dodatnog ključa u registry samog Steam Client Service procesa hakeri su mogli kontrolisati kompletnu Steam aplikaciju, te njene privilegije.

Jedan od najvećih problema ovog propusta jeste taj što bi sami napadač mogao da preuzme kompletnu kontrolu nad operativnim sistemom žrtve, te da dobije potpuni system-wide administrativni pristup svemu, što znači da bi napadač imao apsolutnu kontrolu nad samim sistemom. Dobra strana ovog propusta jeste ta što bi sami napadač morao imati direktan ili daljinski pristup operativnom sistmeu žrtve, što i nije vrlo jednostavno.

“Naš HackerOne program ima pravilnik koji kaže da nagradu dajemo samo za pronalaženje sigurnosnih propusta i problema koji direktno imaju utjecaj na samu Steam platformu. Do sad smo imali preko 500 sigurnosnih problema, i platili smo preko $675,000 kao nagradu onima koji su ih pronašli. Radujemo se nastavljanju suradnje sa zajednicom za otkrivanje sigurnosnih propusta kako bismo poboljšali naš HackerOne program.” -Valve Software

Valve je naravno ignorisao prijavu ovog propusta iz razloga što ‘propust nema direktan utjecaj na same lokacije za pristup Steam filesystem podataka’ i ‘napadi se moraju vršiti direktnim prisustvom na određenom uređaju’ kako bi se napad izvršio.

DIPF EZIO

DIPF EZIO

Vlasnik DIPF Balkan Gaming Communityja, samostalni softver developer i veliki fan svega što ima veze sa The Walking Dead univerzumom.

Leave a Reply

Your email address will not be published.