9600万人以上に影響を与えうるWindows版Steamのゼロデイ脆弱性をホワイトハッカーが一般公開した理由とは?
Windows版Steamのゼロデイ脆弱性をホワイトハッカーが誰でも閲覧できる形式で詳しく公開しています。このゼロデイ脆弱性に関して、発表に至るまでの経緯やValveの対応に注目が集まっています。
One more Steam Windows Client Local Privilege Escalation 0day
https://amonitoring.ru/article/onemore_steam_eop_0day/
Researcher Discloses Second Steam Zero-Day After Valve Bug Bounty Ban | Threatpost
https://threatpost.com/researcher-discloses-second-steam-zero-day-after-valve-bug-bounty-ban/147593/
Second Steam Zero-Day Impacts Over 96 Million Windows Users
https://www.bleepingcomputer.com/news/security/second-steam-zero-day-impacts-over-96-million-windows-users/
Researcher publishes second Steam zero day after getting banned on Valve's bug bounty program | ZDNet
https://www.zdnet.com/article/researcher-publishes-second-steam-zero-day-after-getting-banned-on-valves-bug-bounty-program/
ホワイトハッカーのVasily Kravetsさんが発表したWindows版Steamのゼロデイ脆弱性は、全てのローカルユーザーがWindowsの「管理者権限」を取得できるようになるというもの。管理者権限を得ると無断でWindowsの重要ファイルを実行可能になるため、マルウェアのインストールやファイルの無断アクセスなどにつながる可能性があります。
KravetsさんがSteamの脆弱性を、発見された脆弱性に応じて企業が報奨金を支払う「バグバウンティ」サービスを運営するHackerOneに報告。しかし、Valveは報告されたSteamの脆弱性は「他の脆弱性を利用してPC内部のファイルを操作して初めて活用できるタイプの脆弱性だ」と語り、脆弱性として認めることを拒否。さらには、HackerOne上のValveの報奨金プログラムからKravetsさんをBANして締め出したそうです。
Kravetsさんは脆弱性の発表を通知したところ、HackerOneは報告用のスレッドを説明もなく停止したとのこと。報告から45日以上が経過した2019年8月2日、Kravetsさんは脆弱性を公開します。
This is my #ZeroDay #PublicDisclosure of a security vulnerability at Steam Windows client which allows a local privilege escalation. #0day
— Felix aka [xi-tauw] (@PsiDragon) August 7, 2019
Rus - https://t.co/W4VNdHIBCI
Eng - https://t.co/1ZDFzx3uxt
発表後、KravetsさんはHackerOneから「Valveはこの脆弱性を修正する予定はない」というメールを受け取ります。しかし、公開された脆弱性はSteamユーザーとセキュリティ研究者の間で話題となった結果、とうとうValveは修正パッチをリリースしました。
修正パッチのリリース後、いまだに脆弱性が健在であるという報告がKravetsさんの元に届きます。Kravetsさんは管理者権限を取得する脆弱性に関する新手法を開発して一般公開し、その理由について「Valveは内密に報告するよりも、一般向けに公開する形で報告することを好んでいるようですから」と語りました。
One more Steam Windows Client Local Privilege Escalation 0day
発表された脆弱性はかなり詳細にわたるもので、再現ムービーも投稿されています。
Steam EoP 0day vulnerability (registry based) - YouTube
Steam EoP 0day vulnerability (filesystem based) - YouTube
Kravetsさんは一連の騒動に関して「悲しくも単純なことです。Valveは失敗し続けるということですよ」と述べています。一方、ZDNet・Threatpost・Bleeping Computerの各社がValveにコメントを求めましたが、Valveは沈黙を貫いているそうです。
Steamは登録アカウント数10億を超え、ユーザー数は1億人を超えているという世界最大手のゲームプラットフォームです。2019年7月のValveの調査によると、約96%のユーザーがWindowsのPCを使っているため、Windows版Steamの脆弱性は9600万人に影響しうると報じられています。
・関連記事
Steamクライアントで過去10年にわたってユーザーのPCをリモート制御できる深刻な脆弱性が放置されていたとの報告 - GIGAZINE
無料でSteam上のあらゆるゲームをダウンロード可能になるバグが発見される - GIGAZINE
人気バトルロイヤル「Apex Legends」を配信するプラットフォームにアカウント乗っ取りの脆弱性が見つかったという報告 - GIGAZINE
Epic GamesがライバルのSteamからデータをひっそり収集していた問題の修正を約束 - GIGAZINE
何百人ものApex LegendsなどのFPSプレイヤーがチートツール経由でマルウェアに感染して個人情報を盗み出されている - GIGAZINE
・関連コンテンツ