2019年08月22日 14時00分 セキュリティ

9600万人以上に影響を与えうるWindows版Steamのゼロデイ脆弱性をホワイトハッカーが一般公開した理由とは？



Windows版Steamのゼロデイ脆弱性をホワイトハッカーが誰でも閲覧できる形式で詳しく公開しています。このゼロデイ脆弱性に関して、発表に至るまでの経緯やValveの対応に注目が集まっています。



One more Steam Windows Client Local Privilege Escalation 0day

https://amonitoring.ru/article/onemore_steam_eop_0day/



Researcher Discloses Second Steam Zero-Day After Valve Bug Bounty Ban | Threatpost

https://threatpost.com/researcher-discloses-second-steam-zero-day-after-valve-bug-bounty-ban/147593/



Second Steam Zero-Day Impacts Over 96 Million Windows Users

https://www.bleepingcomputer.com/news/security/second-steam-zero-day-impacts-over-96-million-windows-users/



Researcher publishes second Steam zero day after getting banned on Valve's bug bounty program | ZDNet

https://www.zdnet.com/article/researcher-publishes-second-steam-zero-day-after-getting-banned-on-valves-bug-bounty-program/



ホワイトハッカーのVasily Kravetsさんが発表したWindows版Steamのゼロデイ脆弱性は、全てのローカルユーザーがWindowsの「管理者権限」を取得できるようになるというもの。管理者権限を得ると無断でWindowsの重要ファイルを実行可能になるため、マルウェアのインストールやファイルの無断アクセスなどにつながる可能性があります。



KravetsさんがSteamの脆弱性を、発見された脆弱性に応じて企業が報奨金を支払う「バグバウンティ」サービスを運営するHackerOneに報告。しかし、Valveは報告されたSteamの脆弱性は「他の脆弱性を利用してPC内部のファイルを操作して初めて活用できるタイプの脆弱性だ」と語り、脆弱性として認めることを拒否。さらには、HackerOne上のValveの報奨金プログラムからKravetsさんをBANして締め出したそうです。





Kravetsさんは脆弱性の発表を通知したところ、HackerOneは報告用のスレッドを説明もなく停止したとのこと。報告から45日以上が経過した2019年8月2日、Kravetsさんは脆弱性を公開します。



This is my #ZeroDay #PublicDisclosure of a security vulnerability at Steam Windows client which allows a local privilege escalation. #0day

Rus - https://t.co/W4VNdHIBCI

Eng - https://t.co/1ZDFzx3uxt — Felix aka [xi-tauw] (@PsiDragon) August 7, 2019



発表後、KravetsさんはHackerOneから「Valveはこの脆弱性を修正する予定はない」というメールを受け取ります。しかし、公開された脆弱性はSteamユーザーとセキュリティ研究者の間で話題となった結果、とうとうValveは修正パッチをリリースしました。





修正パッチのリリース後、いまだに脆弱性が健在であるという報告がKravetsさんの元に届きます。Kravetsさんは管理者権限を取得する脆弱性に関する新手法を開発して一般公開し、その理由について「Valveは内密に報告するよりも、一般向けに公開する形で報告することを好んでいるようですから」と語りました。



One more Steam Windows Client Local Privilege Escalation 0day





発表された脆弱性はかなり詳細にわたるもので、再現ムービーも投稿されています。



Steam EoP 0day vulnerability (registry based) - YouTube





Steam EoP 0day vulnerability (filesystem based) - YouTube





Kravetsさんは一連の騒動に関して「悲しくも単純なことです。Valveは失敗し続けるということですよ」と述べています。一方、ZDNet・Threatpost・Bleeping Computerの各社がValveにコメントを求めましたが、Valveは沈黙を貫いているそうです。



Steamは登録アカウント数10億を超え、ユーザー数は1億人を超えているという世界最大手のゲームプラットフォームです。2019年7月のValveの調査によると、約96％のユーザーがWindowsのPCを使っているため、Windows版Steamの脆弱性は9600万人に影響しうると報じられています。

