Un investigador reveló que la plataforma de juegos Steam tenía una vulnerabilidad grave que podía secuestrar el sistema de los usuarios. A pesar de que Valve, los creadores de Steam, pidieron que no se publicara esta información, el investigador de todos modos lo hizo.
Steam, abastece a aproximadamente 90 millones de usuarios en todo el mundo, pero los principales afectados serían los usuarios de Windows, según el investigador Vasily Kravets. El especialista detalló que la falla al sistema de seguridad era bastante simple: Steam Client Service incluye una configuración que permite a cualquier usuario del grupo «Usuario» iniciar y detener el servicio. No parece ser un problema serio, sin embargo, con un examen más detallado se descubrieron algunos hallazgos “extraños”.
Las claves y subclaves de «Usuario» del cliente heredan conjuntos completos de permisos de lectura / escritura para la carpeta de instalación. Así que solo fue necesario tomar el control de una clave para lanzar un ataque de escalada de privilegios y crear un exploit. Con esto, es posible instalar cualquier tipo de programa de altos privilegios en una computadora Windows que tenga Steam instalado.
El 15 de junio, el investigador informó a la compañía a través de la plataforma de recompensas de errores HackerOne acerca de la vulnerabilidad. Adjuntó un archivo ejecutable de prueba de concepto (PoC) para completar su informe. No obstante, Steam de Valve rechazó el informe y no dio la recompensa argumentando que el ataque «requeriría la capacidad de colocar archivos en ubicaciones arbitrarias en el sistema de archivos del usuario».
Kravets impugnó la decisión y esta vez reenvió el informe al equipo de Seguridad de Steam, pero recibió la misma respuesta, solo que esta vez agregaron que para que se genere un ataque también se necesitaba acceso físico al dispositivo de un usuario.
Así que Kravets informó a HackerOne que luego del plazo establecido de 45 días divulgaría el informe acerca de la vulnerabilidad. HackerOne dijo al investigador que no tenía permitido hacerlo, pero el investigador publicó sus hallazgos de todos modos.
«Entonces, dos semanas después de mi mensaje, que fue enviado el 20 de julio, aparece una persona que me dice que mi informe fue marcado como no aplicable, cerraron la discusión y no me ofrecieron ninguna explicación«, dijo Kravets. «Además, no querían que revelara la vulnerabilidad. Al mismo tiempo, ni siquiera había una sola palabra de Valve«.
Cuando el informe se hizo público, Kravets recibió un mensaje que decía «Valve no va a arreglar algo que han determinado que es N/A [no aplicable]«. Y para sumar peso a la existencia de esta vulnerabilidad, más tarde Matt Nelson descubrió la misma falla y publicó un PoC en GitHub.
Here is a 0day in Steam. This bug has been publicly disclosed (https://t.co/yQxqJUi9P3), so I’m opening up my PoC. No blog post since @PsiDragon covered it nicely. https://t.co/it7wAZbnF2— Matt Nelson (@enigma0x3) August 7, 2019
En el marco de los informes, Steam Beta se actualizó con una solución para un «exploit de escalada de privilegios utilizando enlaces simbólicos en el Registro de Windows«. Sin embargo, no se ha pronunciado ni ha reconocido la vulnerabilidad.
Kravets por su parte va un poco más lejos y considera que la minería oculta en el juego es una estrategia pensada con alevosía. Considera que las amenazas de este juego seguirán ejecutándose sin que los usuarios cedan sus derechos.