Una vulnerabilidad día cero en el cliente de la plataforma de videojuegos en línea Steam ha sido revelada. Acorde al investigador en hacking ético que descubrió la falla, esta es la segunda vulnerabilidad día cero encontrada en Steam en apenas un par de semanas.
La primera vulnerabilidad, detectada por el mismo investigador originario de Rusia, fue reportada en tiempo y forma a Valve, compañía propietaria de Steam. No obstante, el experto afirma que no le fue posible reportar esta nueva falla, pues la compañía le prohibió que enviara más informes de errores a través de su programa de recompensas en HackerOne.
Estos reportes han generado gran controversia en la comunidad de la ciberseguridad, siendo la compañía el principal blanco de críticas debido a un presunto comportamiento poco profesional de parte de sus empleados y colaboradores, al rechazar en repetidas ocasiones el reporte sobre la vulnerabilidad. Además de rechazar los informes del experto, la compañía también se ha negado a corregir las fallas detectadas, argumentando que su explotación es altamente compleja, mencionan expertos en hacking ético.
Después de ser nuevamente ignorado por Valve, el investigador Vasily Kravets trató de revelar al público la vulnerabilidad; no obstante, un miembro de la plataforma HackerOne trató de impedirlo, argumentando que la compañía no tenía intención de corregir esta falla.
Kravets decidió ignorar las advertencias de los miembros de HackerOne y publicar la falla de todas formas. Esta falla de escalada de privilegios locales habría permitido que otras aplicaciones o software de terceros ejecutaran código con derechos de administrador en el cliente de Steam. Al final, Kravets mencionó que HackerOne lo expulsó de la plataforma por publicar el informe de la vulnerabilidad sin autorización, sin embargo, el fuego había comenzado y el reporte comenzó a llegar a diversos miembros de la comunidad de la ciberseguridad, que presionaron hasta que Valve anunció que la vulnerabilidad reportada sería corregida.
Los problemas para Valve no terminaron ahí, pues poco tiempo después un experto en hacking ético demostró que el parche lanzado por la compañía no era una solución eficiente, pues era relativamente sencillo esquivar esta medida de seguridad. Estas fallas también fueron reportadas a Valve, pero corrieron con la misma suerte que Kravets, pues la compañía simplemente ha ignorado los informes de la comunidad.
Las malas experiencias al tratar con Valve llevaron al experto a revelar la segunda vulnerabilidad día cero por su cuenta. Al igual que la primera falla encontrada, esta es una vulnerabilidad de escalada de privilegios en el cliente de Steam que, de ser explotada como se muestra en la prueba de concepto de Kravets, permitiría a un actor de amenazas obtener derechos de administrador a través de la app de Steam. La compañía no se ha pronunciado al respecto, aunque es necesario decir que esto sucede en muy escasas ocasiones.
Acorde a especialistas en hacking ético del Instituto Internacional de Seguridad Cibernética (IICS) la postura de la compañía se debe a que, según sus políticas, las vulnerabilidades de escalada de privilegios se encuentran “fuera del alcance” de su programa de reporte de errores. En pocas palabras, para Valve, estas no son fallas de seguridad.
A pesar de la postura de la compañía, prácticamente toda la comunidad de la ciberseguridad considera las escaladas de privilegios como serios inconvenientes de seguridad. “Valve se ha negado a corregir estas fallas, mostrando el poco interés que tiene la compañía en la seguridad de la información de sus más de 100 millones de usuarios”, considera Kravets.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
