Sábado, Mayo 15, 2021

Si usas Steam, cualquiera puede controlar tu PC con estos 3 fallos

steam-vulnerabilidad

A pesar de que cada vez hay un mayor interés por las grandes empresas en la ciberseguridad, 2021 está demostrando que sigue habiendo graves vulnerabilidades en el software que usamos a diario. Esta semana hemos conocido un grave fallo en WhatsApp que la compañía no quiere parchear, y ahora ocurre lo mismo con Valve, donde tres fallos de seguridad diferentes permiten tomar el control de cualquier ordenador que tenga Steam instalado.

La vulnerabilidad base lleva presente al menos dos años en el cliente de Steam para Windows 10. Los investigadores de ciberseguridad del grupo The Secret Club reportaron el primero de los fallos hace dos años a Valve, pero la compañía ha hecho caso omiso y no les ha respondido. El último fallo que reportaron fue hace cinco meses, pero también les han ignorado, e incluso les han amenazado con acciones legales si lo publican. Sin embargo, han decidido hacer públicos los tres fallos con el objetivo de presionar para que los parcheen.

Juegos como CS:GO, afectados por tres fallos

Las vulnerabilidades están presentes en todos los juegos basados en el motor Source de Valve, incluyendo hasta la versión más actualizada de la misma. La forma de activar el primero de los fallos es mediante una simple invitación a una partida a través de la lista de amigos de Steam. Si la recibimos y le damos a Jugar, se abrirá el juego y se ejecutará la vulnerabilidad.

Con esta vulnerabilidad, el atacante tiene acceso completo al ordenador, y los investigadores demuestran el éxito del fallo abriendo la aplicación de Calculadora. En el siguiente vídeo podemos ver lo fácil que se puede aprovechar:

La vulnerabilidad base lleva presente al menos dos años en el cliente de Steam para Windows 10. Los investigadores de ciberseguridad del grupo The Secret Club reportaron el primero de los fallos hace dos años a Valve, pero la compañía ha hecho caso omiso y no les ha respondido. El último fallo que reportaron fue hace cinco meses, pero también les han ignorado, e incluso les han amenazado con acciones legales si lo publican. Sin embargo, han decidido hacer públicos los tres fallos con el objetivo de presionar para que los parcheen.

Juegos como CS:GO, afectados por tres fallos

Las vulnerabilidades están presentes en todos los juegos basados en el motor Source de Valve, incluyendo hasta la versión más actualizada de la misma. La forma de activar el primero de los fallos es mediante una simple invitación a una partida a través de la lista de amigos de Steam. Si la recibimos y le damos a Jugar, se abrirá el juego y se ejecutará la vulnerabilidad.

Con esta vulnerabilidad, el atacante tiene acceso completo al ordenador, y los investigadores demuestran el éxito del fallo abriendo la aplicación de Calculadora. En el siguiente vídeo podemos ver lo fácil que se puede aprovechar:

También hay un tercer fallo que también lleva a la ejecución de código remoto mediante una vulnerabilidad de día cero con sólo ejecutar un mapa modificado dentro del juego, el cual sí sería necesario descargar. En este caso también encontramos un vídeo para ver cómo funciona:

El fallo todavía no está parcheado

Mientras Valve decide o no parchear estos tres fallos, es importante no aceptar invitaciones de amistad de desconocidos y mucho menos sus invitaciones para jugar. Si quieres estar protegido del todo y no sueles jugar con amigos, una opción es ponerte como Desconectado en la Lista de amigos, de manera que nadie pueda invitarte a jugar ni puedan abrirte chat.

El problema de este fallo es que, incluso evites invitaciones de desconocidos, este fallo te puede llegar también a través de tus amigos si los hackers han conseguido hacerse con el control de su ordenador. En cuanto se descubra cómo funciona el exploit, podríamos ver una enorme dispersión por parte de los atacantes a través de la lista de amigos de los usuarios de Steam. Al tomar el control de un PC, no sólo pueden abrir Steam, sino que pueden robar tu dinero, mensajes, archivos, etc. Y tener Steam Guard no servirá de mucho.

 

Fuente: adslzone

¿Quién está en línea?

Hay 227 invitados y ningún miembro en línea

Contador de Visitas

13014437
Hoy Hoy 688
Ayer Ayer 652
Esta semana Esta semana 4180
Este mes Este mes 10917
Total de Visitas Total de Visitas 13014437

Día con más
visitantes

01-20-2021 : 1238

Gracias por su visita