Novo update de Street Fighter V do Steam pode estar comprometendo a segurança de computadores

Blue Link 0 comments Facebook Comments

Street Fighter V Ryu Logo

Saiu ontem para PC e PS4 um novo update para Street Fighter V, e logo em seguida alguns usuários no Reddit falaram que não conseguem abrir o jogo:

Since the update i can no longer launch the game on pc from StreetFighter

Logo depois foram descobertas coisas… preocupantes. Para começar, o motivo pelo qual o jogo não abre em alguns PC é pelo fato de que o mesmo trava em todos os PCs aonde ele foi instalado num Diretório diferente do Sistema Operacional (o que é bem comum de acontecer):

Comment from discussion .

Logo depois foi descoberto que o motivo pelo qual o jogo precisa estar no mesmo Diretório que o S.O é pelo fato de que o jogo instala dentro da pasta System32 um arquivo chamado Capcom.sys:

street-fighter-v-capcomsys

Um usuário do Reddit inclusive declarou que recebeu uma tela azul da morte em seu Windows 10 por culpa desse arquivo, como pode ser visto no comentário abaixo (clique na imagem do lado do “BSOD:”):

WARNING: TO ALL SFV PC PLAYERS from StreetFighter

E o que esse arquivo faz? Outro usuário do Reddit descobriu, e disse que “após dar uma olhada (no que esse arquivo faz), eu nunca deixaria esse produto rodar na minha máquina”:

Para quem não sabe inglês, aqui vai uma tradução do que o arquivo faz:

“1.O driver primeiro registra a si mesmo usando um nome gerado pseudo-aleatóriamente. Isso é meio suspeito. Ele também não especifica nenhuma segurança, então qualquer usuário em qualquer nível de privilégio pode tentar abrir e controlar o dispositivo. Isso é Ruim.

2. Ele coloca manuseios aleatórios para abrir o dispositivo do objeto, fechar o dispositivo do objeto, e fazer ioctls no dispositivo do objeto. Isso é bem comum, entretanto um driver que não criou uma segurança quando criou seu dispositivo deveria fazer checagens de segurança quando estivesse abrindo o dispositivo. Esse driver não o faz.

3. No manuseio do ioctl é aonde as coisas “interessantes” acontecem. Ele checa pelos códigos de controle 0xAA012044 e 0xAA013044, faz alguns testes de tamanho do buffer, desativa execução de proteção de dados e depois roda um código arbitrário passado pelo ioctl buffer com permissões do kernel.

Em outras palavras, esse driver cria um back door que pode permitir um usuário não privilegiado a rodar um código com permissões do kernel.”

Até a Capcom se pronunciar oficialmente sobre o assunto, é extremamente recomendado que os donos do jogo desinstalem o jogo de suas máquinas e deletem o arquivo “Capcom.sys”.

 

Área de Comentários