Peneliti: Protokol URL Uap dapat disalahgunakan untuk mengeksploitasi kerentanan permainan

Penyerang dapat menyalahgunakan cara browser dan aplikasi lain menangani uap: // URL protokol untuk mengeksploitasi kerentanan serius dalam klien atau game Steam yang dipasang melalui platform, menurut para peneliti dari startup vulnerability research and consultancy firm ReVuln.

Steam adalah distribusi digital populer dan platform manajemen hak digital untuk game dan, sejak awal bulan ini, produk perangkat lunak lainnya. Menurut Valve Corporation, perusahaan yang mengembangkan dan mengoperasikan platform, Steam menawarkan lebih dari 2.000 judul dan memiliki lebih dari 40 juta akun aktif.

Klien Steam dapat berjalan di Windows, Mac OS X dan Linux, meskipun sebagai versi beta saja di OS yang terakhir.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Ketika klien Steam diinstal pada suatu sistem, ia mendaftarkan dirinya sebagai uap: // protokol protokol URL. Ini berarti bahwa setiap kali pengguna mengklik uap: // URL di browser atau aplikasi yang berbeda, URL diteruskan ke klien Steam untuk dieksekusi.

Steam: // URL dapat berisi perintah protokol Steam untuk menginstal atau hapus permainan, perbarui game, mulai gim dengan parameter tertentu, file cadangan, atau lakukan tindakan lain yang didukung.

Penyerang dapat menyalahgunakan perintah ini untuk mengeksploitasi kerentanan dari jarak jauh di klien Uap atau game Uap yang diinstal pada sistem dengan mengelabui pengguna agar membuka dengan jahat uap yang dibuat: // URL, Peneliti dan pendiri keamanan ReVuln Luigi Auriemma dan Donato Ferrante mengatakan dalam makalah penelitian yang diterbitkan pada hari Senin.

Masalahnya adalah bahwa beberapa browser dan aplikasi secara otomatis melewatkan steam: // URL ke klien Steam tanpa meminta konfirmasi dari pengguna, kata para peneliti. Browser lain meminta konfirmasi pengguna, tetapi tidak menampilkan URL lengkap atau memperingatkan tentang bahaya memungkinkan URL tersebut dieksekusi.

Menurut pengujian yang dilakukan oleh peneliti ReVuln, Internet Explorer 9, Google Chrome dan peringatan tampilan Opera dan uap penuh atau sebagian: // URL sebelum meneruskannya ke klien Steam untuk dieksekusi. Firefox juga meminta konfirmasi pengguna, tetapi tidak menampilkan URL dan tidak memberikan peringatan, sementara Safari secara otomatis menjalankan steam: // URL tanpa konfirmasi pengguna, kata para peneliti.

“Semua browser yang mengeksekusi penangan URL eksternal secara langsung tanpa peringatan dan yang berbasis pada mesin Mozilla (seperti Firefox dan SeaMonkey) adalah vektor sempurna untuk melakukan panggilan Steam Browser Protocol, ”kata para peneliti. "Selain itu untuk browser seperti Internet Explorer dan Opera, masih mungkin untuk menyembunyikan bagian cerdik dari URL agar tidak ditampilkan dalam pesan peringatan dengan menambahkan beberapa spasi ke dalam uap: // URL itu sendiri."

Selain mengelabui pengguna secara manual klik pada steam nakal: // URL, penyerang dapat menggunakan kode JavaScript yang dimuat pada halaman berbahaya untuk mengarahkan ulang browser ke URL tersebut, Luigi Auriemma mengatakan Selasa melalui email.

Browser yang memerlukan konfirmasi pengguna untuk uap: // URL eksekusi secara default biasanya menyediakan pengguna dengan opsi untuk mengubah perilaku ini dan memiliki URL yang secara otomatis dieksekusi oleh klien Steam, kata Auriemma. "Sangat mungkin bahwa banyak gamer sudah memiliki uap: // tautan yang secara langsung dieksekusi di peramban untuk menghindari kekecewaan mengkonfirmasikannya sepanjang waktu."

Tangkapan layar dari video bukti-konsep yang dibuat oleh ReVuln bahwa menunjukkan bagaimana penyerang dapat menyalahgunakan cara browser dan aplikasi lain menangani aliran: // URL protokol

Para peneliti merilis video di mana mereka menunjukkan bagaimana uap: // URL dapat digunakan untuk mengeksploitasi beberapa kerentanan yang mereka temukan di klien Steam dan permainan populer.

Sebagai contoh, perintah "retailinstall" protokol Steam dapat digunakan untuk memuat file gambar splash TGA yang salah yang mengeksploitasi kerentanan dalam klien Steam untuk mengeksekusi kode berbahaya dalam konteks prosesnya, kata para peneliti.

Dalam contoh lain, uap: // URL dapat digunakan untuk menjalankan perintah yang sah yang ditemukan di mesin permainan Valve's Source untuk menulis file.bat dengan konten yang dikontrol oleh penyerang di dalam folder Startup Windows. File yang terletak di direktori Windows Startup secara otomatis dijalankan ketika pengguna masuk.

Mesin game Sumber digunakan di banyak game populer termasuk Half-Life, Counter-Strike, dan Team Fortress yang memiliki puluhan juta pemain.

Mesin permainan populer lainnya yang disebut Unreal mendukung pemuatan file dari direktori WebDAV atau SMB yang dibagikan jarak jauh melalui parameter baris perintah. Steam jahat: // URL dapat digunakan untuk memuat file berbahaya dari lokasi semacam itu yang mengeksploitasi salah satu dari banyak kerentanan overflow bilangan bulat yang ditemukan di mesin gim untuk mengeksekusi kode berbahaya, kata peneliti ReVuln.

Pembaruan otomatis fitur yang ditemukan di beberapa game seperti APB Reloaded atau MicroVolts juga dapat disalahgunakan melalui uap: // URL untuk membuat file dengan konten yang dikontrol oleh penyerang pada disk.

Untuk melindungi dirinya sendiri, pengguna dapat menonaktifkan uap: // protokol URL handler secara manual atau dengan aplikasi khusus, atau dapat menggunakan browser yang tidak secara otomatis menjalankan uap: // URL, kata Auriemma. “Kelemahannya adalah para gamer yang menggunakan tautan ini secara lokal (pintasan) atau online (browser web) untuk bergabung dengan server atau menggunakan fitur lain dari protokol ini tidak akan dapat menggunakannya.”

Karena Safari adalah salah satu peramban yang secara otomatis menjalankan uap: // URL, pengguna Mac OS X, yang mewakili sebagian besar basis pengguna browser, mungkin lebih sering terkena serangan tersebut. "Mac OS adalah platform sekunder yang digunakan pada Steam dan banyak permainan yang tersedia untuk platform ini sehingga memiliki basis pengguna yang luas," kata Auriemma.

"Menurut pendapat kami, Valve harus menghapus berlalunya parameter command-line ke game karena itu terlalu berbahaya dan mereka tidak dapat mengendalikan bagaimana perangkat pihak ketiga ini dapat bertindak dengan parameter yang salah, ”kata peneliti.

Valve tidak segera mengembalikan permintaan untuk komentar.

Awal bulan ini Valve mulai mendistribusikan pilih non judul perangkat lunak -gaming melalui Steam. Kerentanan yang ditemukan dalam aplikasi tersebut juga dapat dieksploitasi melalui uap: // URL, kata Auriemma.

“Dalam beberapa bulan terakhir, Valve banyak berinvestasi dalam platform Steam yang meluncurkan versi beta Steam for Linux, menambahkan layanan GreenLight tempat pengguna dapat memilih game apa yang ingin mereka lihat tersedia di Steam, menambahkan bagian Software, menambahkan lebih banyak game dan beberapa game yang disorot tersedia penuh untuk waktu yang terbatas, banyak permainan gratis untuk bermain dan banyak lagi, ”kata peneliti. "Tidak ada saat yang lebih baik untuk memperhatikan masalah ini daripada sekarang."