利用 SteelSeries 的子应用程序机制进行权限升级

SteelSeries GG 默认以中等级别的完整性执行，且通常在管理员上下文中执行。因此，在某些情况下可能会在完整度较高的上下文中执行。这一细节，再加上 SteelSeries GG 实际上是一个侦听进程（图 1），使得它成为漏洞研究的优质目标。

子应用程序机制用于管理 SteelSeries 的可选功能并增强用户体验。Sonar 便是此类子应用程序的一个例子，根据 SteelSeries 的定义，“Sonar 是一套先进的游戏音频软件工具。借助这套工具，任何人都能单独调整游戏音量、团队聊天音量和麦克风音量。”子应用程序在后台运行，并通过进程间通信 (IPC) API 与应用程序的主模块通信。

SteelSeries GG IPC API 公开了用户可请求的几类操作，包括配置更改、管理操作、用户个人资料编辑等。更有趣的是：此 API 提供了一个用于管理子应用程序的接口，包括对子应用程序进行创建和删除以及启用和禁用等。

API 路由功能（即如何处理每个 API 请求）是利用 gorilla/mux 开源库实现的。在了解这一点之后，我们就能更轻松地探究攻击面。路由功能本身非常庞大，但它本质上只是针对每个可用 API 选项的 if 语句集合（图 2）。

我们可以进行的其中一个 API 调用是创建新的子应用程序。此过程是通过向 /subApps 路由发送 POST 请求而完成的，请求的 JSON 有效负载包含多个参数，其中有四个参数我们很感兴趣：“name”、“executableName”、“isEnabled”和“shouldAutoStart”。

利用这些字段，我们能够以非特权用户身份实际创建一个新的子应用程序，将其指向非特权位置的可执行文件，还可以在每次启动应用程序时对该子应用程序加以调度。

SteelSeries GG 按如下格式构建子应用程序可执行文件的完整路径：

由于“name”和“executableName”字段以此种方式相串联，因此我们认为可以尝试进行路径遍历攻击。如图 4 所示，SteelSeries GG 对路径遍历并无招架之力，可以接受在路径前加“../../../../”。

在该情况下，我们利用了证书验证与实际执行二进制文件之间的时间差（图 7）。换言之，我们试图利用 James Forshaw 的 BaitAndSwitch 工具快速将合法文件替换为恶意文件，从而赢得争用条件。我们希望在证书验证后立即替换此文件。这样，验证会在合法文件上进行，但随后则执行未经验证的恶意文件。

从设计上说，争用条件并不保证一定有效。为稳住这一漏洞，我们可以尝试为替换赢得更多时间，以扩大我们的机会窗口。

回想一下，证书验证依赖于两个测试：对 WinVerifyTrust 的调用，以及证书中的几个字段和应用程序中的硬编码字符串之间的对比检查。我们可以在自己的可执行文件中植入包含这些精确值的证书。借助这一增强，攻击者能够赢得争用条件，即便两个测试间发生切换也是如此，因为我们的恶意二进制文件满足第二个测试的所有标准。

图 8 中的动画展示了从等待 BaitAndSwitch 验证流程开始到执行攻击者二进制文件（在本例中为 cmd.exe）的过程。

为帮助检测网络中易受攻击的资产，我们提供了一个 osquery 来查找 SteelSeries GG 的实例及其当前的安装版本：

Akamai Guardicore Segmentation 客户可以通过 Insight 使用此查询，以查找需要修补的应用程序。

SteelSeries 会使用每个新补丁更新其应用程序。这可能会降低您的设备受这些漏洞影响的几率，但我们建议防御者将 SteelSeries 升级到 39 以上的版本。

SteelSeries 是一家大型公司，在全球拥有超 900 万客户的庞大用户群。其产品中的任何漏洞本身都会产生较大的影响。如果我们考虑到利用这些漏洞的难易程度及其对机器的影响（即可能以管理员身份执行二进制文件），后果就会更加严重。

其影响范围不仅限于用户的计算机，整个企业也可能会受到影响。员工的笔记本电脑如果连接到易受攻击的设备或运行易受攻击的应用程序，而这些笔记本电脑随后可能会接入企业网络，这样就将风险“导入”了整个组织。因此，企业必须考虑实施自带设备 (BYOD) 政策，并就此类设备的使用风险对员工开展培训。

我们已经扫描了 Akamai 客户的网络，试图搜索存在漏洞的应用程序实例，并通知了相关客户。

在我们为了保护客户和社区而采取的后续举措中，我们将继续分析修补程序和其他系统中存在的漏洞。要了解 Akamai 最新的安全研究， 请关注我们的微信公众号。