La vulnerabilidad base lleva presente al menos dos años en el cliente de Steam para Windows 10. Los investigadores de ciberseguridad del grupo The Secret Club reportaron el primero de los fallos hace dos años a Valve, pero la compañía ha hecho caso omiso y no les ha respondido. El último fallo que reportaron fue hace cinco meses, pero también les han ignorado, e incluso les han amenazado con acciones legales si lo publican. Sin embargo, han decidido hacer públicos los tres fallos con el objetivo de presionar para que los parcheen.

Juegos como CS:GO, afectados por tres fallos

Las vulnerabilidades están presentes en todos los juegos basados en el motor Source de Valve, incluyendo hasta la versión más actualizada de la misma. La forma de activar el primero de los fallos es mediante una simple invitación a una partida a través de la lista de amigos de Steam. Si la recibimos y le damos a Jugar, se abrirá el juego y se ejecutará la vulnerabilidad.

Con esta vulnerabilidad, el atacante tiene acceso completo al ordenador, y los investigadores demuestran el éxito del fallo abriendo la aplicación de Calculadora. En el siguiente vídeo podemos ver lo fácil que se puede aprovechar:

La vulnerabilidad base lleva presente al menos dos años en el cliente de Steam para Windows 10. Los investigadores de ciberseguridad del grupo The Secret Club reportaron el primero de los fallos hace dos años a Valve, pero la compañía ha hecho caso omiso y no les ha respondido. El último fallo que reportaron fue hace cinco meses, pero también les han ignorado, e incluso les han amenazado con acciones legales si lo publican. Sin embargo, han decidido hacer públicos los tres fallos con el objetivo de presionar para que los parcheen.

Juegos como CS:GO, afectados por tres fallos

Las vulnerabilidades están presentes en todos los juegos basados en el motor Source de Valve, incluyendo hasta la versión más actualizada de la misma. La forma de activar el primero de los fallos es mediante una simple invitación a una partida a través de la lista de amigos de Steam. Si la recibimos y le damos a Jugar, se abrirá el juego y se ejecutará la vulnerabilidad.

Con esta vulnerabilidad, el atacante tiene acceso completo al ordenador, y los investigadores demuestran el éxito del fallo abriendo la aplicación de Calculadora. En el siguiente vídeo podemos ver lo fácil que se puede aprovechar:

También hay un tercer fallo que también lleva a la ejecución de código remoto mediante una vulnerabilidad de día cero con sólo ejecutar un mapa modificado dentro del juego, el cual sí sería necesario descargar. En este caso también encontramos un vídeo para ver cómo funciona:

El fallo todavía no está parcheado

Mientras Valve decide o no parchear estos tres fallos, es importante no aceptar invitaciones de amistad de desconocidos y mucho menos sus invitaciones para jugar. Si quieres estar protegido del todo y no sueles jugar con amigos, una opción es ponerte como Desconectado en la Lista de amigos, de manera que nadie pueda invitarte a jugar ni puedan abrirte chat.

El problema de este fallo es que, incluso evites invitaciones de desconocidos, este fallo te puede llegar también a través de tus amigos si los hackers han conseguido hacerse con el control de su ordenador. En cuanto se descubra cómo funciona el exploit, podríamos ver una enorme dispersión por parte de los atacantes a través de la lista de amigos de los usuarios de Steam. Al tomar el control de un PC, no sólo pueden abrir Steam, sino que pueden robar tu dinero, mensajes, archivos, etc. Y tener Steam Guard no servirá de mucho.

 

Fuente: adslzone