Forskere: Steam-URL-protokollen kan misbrukes for å utnytte spillssårbarheter.

Angrepere kan misbruke måten nettlesere og andre applikasjoner håndterer damp: // protokolladresser for å utnytte alvorlige sårbarheter i dampklienten eller spillene installert via plattformen, ifølge forskere fra Oppstart sårbarhet forskning og konsulentfirma ReVuln.

Steam er en populær digital distribusjons- og digital rettighetsadministrasjonsplattform for spill, og siden tidligere i måneden er det andre programvareprodukter. Ifølge Valve Corporation, selskapet som utviklet og driver plattformen, tilbyr Steam over 2000 titler og har over 40 millioner aktive kontoer.

Steam-klienten kan kjøre på Windows, Mac OS X og Linux, selv om det kun er en betaversjon i det siste operativsystemet.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Når Steam-klienten er installert på et system, registrerer den seg som en damp: // URL-protokollhåndterer. Dette betyr at hver gang en bruker klikker på en damp: // URL i en nettleser eller et annet program, sendes nettadressen til Steam-klienten for utførelse.

Damp: // Nettadresser kan inneholde Steam Protocol-kommandoer for å installere eller avinstallere spill, oppdatere spill, starte spill med bestemte parametere, sikkerhetskopiere filer eller utføre andre støttede handlinger.

Angrepere kan misbruke disse kommandoene for å utnytte sårbarheter i Steam-klienten eller Steam-spillene som er installert på et system ved å lure brukere til å åpne ondsinnet Utformet damp: // Nettadresser, ReVuln-sikkerhetsforskere og grunnleggere Luigi Auriemma og Donato Ferrante sa i forskningspapir publisert på mandag.

Problemet er at noen nettlesere og applikasjoner automatisk sender damp: // URL til Steam-klienten uten å be om bekreftelse fra brukere, sa forskerne. Andre nettlesere ber om brukerbekreftelse, men viser ikke de fullstendige nettadressene, eller advarsler om farene ved å tillate at slike nettadresser blir utført.

I henhold til tester utført av ReVuln-forskerne, vises advarsler i Internet Explorer 9, Google Chrome og Opera og full eller delvis damp: // URLs før de overføres til dampklienten for utførelse. Firefox krever også brukerbekreftelse, men viser ikke nettadressen og gir ingen advarsel, mens Safari automatisk utfører damp: // Nettadresser uten brukerbekreftelse, sa forskerne.

"Alle nettleserne som utfører eksterne adresseledere direkte uten advarsler og de som er basert på Mozilla-motoren (som Firefox og SeaMonkey) er en perfekt vektor for å utføre stille Steam Browser Protocol-samtaler, sier forskerne. "I tillegg til nettlesere som Internet Explorer og Opera er det fortsatt mulig å skjule den svikefulle delen av nettadressen fra å bli vist i advarselsmeldingen ved å legge til flere mellomrom i dampen: // URL selv."

Bortsett fra å lure brukere manuelt klikk på falsk damp: // URLs, angripere kan bruke JavaScript-kode lastet på ondsinnede sider for å omdirigere nettlesere til slike nettadresser, sa Luigi Auriemma tirsdag via e-post.

Nettlesere som krever brukerbekreftelse for damp: // Gjennomføring av webadresse som standard gi brukerne muligheten til å endre denne oppførselen og ha nettadressene automatisk utført av dampklienten, sa Auriemma. "Det er høyst mulig at mange spillere allerede har dampen: // koblinger direkte utført i nettleseren for å unngå irritasjonen av å bekrefte dem hele tiden."

En skjermfangst fra videoen Confirm-of-Concept laget av ReVuln at viser hvordan angripere kan misbruke måten nettlesere og andre applikasjoner håndterer strøm: // protokoll nettadresser

Forskerne lanserte en video der de demonstrerer hvordan damp: // URLer kan brukes til å utnytte enkelte sikkerhetsproblemer som de fant i Steam-klienten og populære spill.

For eksempel kan Steam-protokollens "retailinstall" -kommando brukes til å laste inn en misdannet TGA splash-bildefil som utnytter et sårbarhet i Steam-klienten for å utføre skadelig kode i sammenheng med prosessen, sa forskerne.

I et annet eksempel kan en damp: // URL brukes til å utføre legitime kommandoer som finnes i Valves kilde-spillmotor for å skrive en.bat-fil med angriperstyrt innhold inne i Windows-oppstartsmappen. Filer som ligger i Windows Oppstartskatalog, utføres automatisk når brukerne logger på.

Kilde spillmotoren brukes i mange populære spill, inkludert Half-Life, Counter-Strike og Team Fortress som har titalls millioner spillere.

En annen populær spillmotor som heter Unreal, støtter lasting av filer fra eksterne WebDAV- eller SMB-delte kataloger gjennom kommandolinjeparametere. En falsk damp: // URL kan brukes til å laste en skadelig fil fra et slikt sted som utnytter en av de mange sikkerhetsproblemene som finnes i spillmotoren for å utføre skadelig kode, sa ReVuln-forskerne.

Den automatiske oppdateringen funksjonen som finnes i noen spill som APB Reloaded eller MicroVolts kan også misbrukes via damp: // URLs for å lage filer med angriperstyrt innhold på disken.

For å beskytte seg kan brukere deaktivere dampen: // URL-protokollen handler manuelt eller med spesialisert søknad, eller kan bruke en nettleser som ikke automatisk utfører damp: // URL, sa Auriemma. "Ulempen er at spillerne som bruker disse koblingene lokalt (snarveier) eller online (nettleser) for å bli med servere eller bruke andre funksjoner i denne protokollen, ikke kan bruke dem."

Fordi Safari er en av nettleserne som Utfører automatisk damp: // URLs, Mac OS X-brukere, som representerer flertallet av nettleserens brukerbase, kan være mer utsatt for slike angrep. "Mac OS er den sekundære plattformen som brukes på Steam, og mange spill er tilgjengelige for denne plattformen, så den har en bred brukerbase," sa Auriemma.

"Etter vår mening skal ventilen fjerne passering av kommandolinjeparametere til spill fordi det er for farlig, og de kan ikke kontrollere hvordan disse tredjepartsprogramvaren kan virke med misdannede parametere, sa forskeren.

Valve returnerte ikke umiddelbart en forespørsel om kommentar.

Tidligere i måneden begynte Valve å distribuere utvalgte ikke- -gaming programvare titler gjennom Steam. Vulnerabilities funnet i slike applikasjoner kan også utnyttes gjennom damp: // URLs, sa Auriemma.

"I de siste månedene har Valve investert mye i Steam-plattformen, og lanserte beta-versjonen av Steam for Linux, og tilføyde GreenLight-tjenesten der brukerne kan stemme hvilke spill de vil se tilgjengelig på Steam, lagt til programvaren, lagt til flere spill og noen uthevede spill tilgjengelig for begrenset tid, massevis av gratis spill og mye mer, sier forskeren. "Det var ikke noe bedre øyeblikk å legge merke til disse problemene enn nå."