Steam游戏玩家警告Windows 10的安全风险

专家警告说，Valve的流行PC游戏平台Steam很容易受到极具破坏性的零日安全漏洞的影响。根据最新调查结果显示，大约有7200万Windows用户面临被攻击者接管系统的风险，攻击者随后可能会安装恶意软件，窃取数据，泄露密码等等。

安全研究人员VasilyKravets透露了这个漏洞，他发现了一个特权升级漏洞，该漏洞可能允许具有最小用户权限的攻击者获得与系统管理员相同的访问级别。

Kravets解释说，威胁行为者可以通过使用这些提升的特权启动恶意软件来利用这一点，并说：

“有些威胁甚至会在没有管理员权限的情况下运行。恶意程序的高权限可能会显着增加风险，程序可能会禁用防病毒软件，使用深色和黑暗的地方来隐藏和更改任何用户的几乎任何文件，甚至窃取私人数据“。

Steam客户服务

该漏洞本身会影响在Windows上以完全系统权限启动的Steam客户端服务。Kravets发现了一种修改系统注册表的方法，以便Steam服务可用于执行另一个应用程序，但具有相同的提升权限。

不幸的是，安全研究员MattNelson已经提供了概念验证代码，这使得漏洞更加严重，因为潜在的攻击者现在知道如何利用它。

Kravets在向Valve提交有关此事的报告后45天就披露了他的调查结果。通常，研究人员会在公开披露漏洞之前等待90天，因为它会让受影响的企业有时间修复其软件中的漏洞。

该漏洞尚未得到修复，因为Kravets最初使用HackerOnebug赏金系统报告了该漏洞。根据TheRegister的说法，他的报告最初被HackerOne拒绝，因为攻击要求“能够在用户文件系统的任意位置删除文件”。在Kravets说服HackerOne这个漏洞既有效又严重之后，他的报告被发送给Valve并在几周后再次遭到拒绝。

由于概念验证代码已经发布，很可能我们很快就会看到漏洞利用的漏洞。

为了防止受到攻击的影响，建议用户遵循标准安全协议，包括不使用盗版软件，不要重复使用多个站点和服务的密码，采用双因素身份验证并应用最新的系统更新和补丁，因为攻击者需要首先访问用户的系统以利用此漏洞。

标签：

免责声明：本文为转载，非本网原创内容，不代表本网观点。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。