代号为Felix的俄罗斯安全研究人员在本周披露了Windows版的Steam客户端程序,含有一零时差的权限扩张漏洞,将允许黑客取得管理员权限,于系统上执行任意程序,虽然他曾先行通报Steam,却遭到Steam拒绝,使得Felix决定公布漏洞细节,波及超过1亿的Steam注册用户。
根据Felix的说明,Steam的客户端程序有一项基于系统权限执行的Steam Client Service功能,奇怪的是来自“用户”(Users)群组的任何人,都有权激活或关闭该功能,之后他发现所有用户都能访问该功能的登录机码,也让黑客可利用它来扩张权限。
Felix指出,这意味着只要Windows计算机安装了Steam,黑客就可取得系统管理员权限并执行任意程序。
Steam为美国企业Valve所开发的游戏数字发行平台,它支持Windows、macOS、Linux、Android与iOS等平台。根据Steam Spy的估计,Steam的全球用户数超过2.4亿,而Steam今年7月的调查则显示,约有71.5%的用户使用Windows 10操作系统,代表至少有1.7亿的用户受到该漏洞的影响。
Felix表示,他是在今年6月通过Valve,于HackerOne上执行的漏洞挖掘奖励项目回应了该漏洞,该漏洞已经通过了HackerOne的审核,却被Valve打了回票,理由是:黑客必须有能力在用户文件系统上放置文件,也必须实际接触用户设备,因此不适用于该项目。但当他准备公布漏洞信息时,Valve还曾制止他。
而在Felix公布了漏洞信息之后,即有另一名研究人员于GitHub上发布了针对该漏洞的概念性验证攻击程序。截至新闻发布前,Valve仍未公开回应此事。