Vulnerabilidad día cero crítica en plataforma de videojuegos en línea Steam

La comunidad gamer no está exenta de ciberataques, pues existen múltiples grupos de hackers maliciosos que la consideran un territorio de caza para obtener ganancias económicas o causar disrupciones en algunas plataformas o contra los usuarios. En esta ocasión, un experto en seguridad de aplicaciones web afirma haber descubierto una vulnerabilidad día cero en el cliente de Windows de la popular plataforma de videojuegos en línea Steam.

Según Vasily Kravets, el experto encargado del hallazgo, la vulnerabilidad reside en el Servicio al Cliente de Steam y, de ser explotada, permitiría a los actores de amenazas ejecutar código arbitrario con privilegios de LocalSystem con tan sólo utilizar unos cuantos comandos. “Un usuario sin privilegios de administrador podría explotar fácilmente esta dalla para iniciar o detener el Servicio al Cliente de Steam”, menciona.

Esta función de Steam establece permisos en diferentes claves de registro de forma predeterminada, por lo que cualquier usuario malicioso podría establecer un vínculo entre una de esas claves y otra perteneciente a un servicio externo. De tener éxito, el atacante podrá detener o iniciar el servicio a voluntad.

El experto en seguridad de aplicaciones web afirma que notificó a Valve Software, desarrolladores de Steam, sobre la vulnerabilidad desde el 15 de junio, todo a través de la plataforma HackerOne. Asimismo, Kravets menciona que adjuntó en su reporte una descripción detallada del ataque, una prueba de concepto y un archivo ejecutable.

En respuesta, HackerOne notificó a Kravets que la vulnerabilidad había sido rechazada pues “un ataque dependería de la capacidad de colocar archivos en ubicaciones arbitrarias en el sistema de archivos del usuario, por lo que está fuera del alcance del programa de reporte de vulnerabilidades”.

No obstante, el experto en seguridad de aplicaciones web insistió en que la vulnerabilidad era explotable, por lo que discutió el caso con el personal de HackerOne hasta que uno de los encargados de la plataforma decidió intentar reproducir el exploit. Posteriormente, la vulnerabilidad fue confirmada y se envió el reporte a Valve Software de nuevo.

Para mala fortuna de Kravets, la historia no termina ahí. Hace un par de semanas el experto recibió un mensaje de un tercer empleado de HackerOne notificándole que la vulnerabilidad reportada estaba fuera de alcance. Las razones que argumentó HackerOne para colocar esta falla como ‘fuera de alcance’ esta ocasión fueron: “ataques que requieren capacidad para colocar archivos en ubicaciones arbitrarias en el sistema de archivos del usuario” y “ataques que requieren acceso físico al dispositivo del usuario”. Después de esta nueva negativa, el experto decidió revelar al público los detalles de la vulnerabilidad.

Después de avisar a HackerOne sobre su decisión, el experto recibió un nuevo mensaje de la plataforma, donde se le prohibía revelar la vulnerabilidad. Aún así, el experto reveló los detalles sobre la falla el 7 de agosto, esperando que así la compañía implementara alguna mejora o actualización.

“Esta es una muestra del poco interés que las grandes compañías tecnológicas tienen por la seguridad de sus usuarios”, declaró Kravets. “En realidad no les preocupa corregir sus fallas, las compañías no hacen nada hasta que se ven obligadas a hacerlo”.

Acorde a especialistas del Instituto Internacional de Seguridad Cibernética (IICS), a inicios de 2019 un equipo de seguridad de aplicaciones web notificó a Steam sobre una vulnerabilidad explotada por algunos hackers para tomar control de cientos de cuentas de usuarios, con lo que robaron información confidencial y lograron infectar con malware los sistemas comprometidos. La compañía incluso pagó una recompensa de 25 mil dólares al hacker que reportó el exploit para conseguir juegos gratis en la plataforma el año pasado.