Si usas Steam, cualquiera puede controlar tu PC con estos 3 fallos

La vulnerabilidad base lleva presente al menos dos años en el cliente de Steam para Windows 10. Los investigadores de ciberseguridad del grupo The Secret Club reportaron el primero de los fallos hace dos años a Valve, pero la compañía ha hecho caso omiso y no les ha respondido. El último fallo que reportaron fue hace cinco meses, pero también les han ignorado, e incluso les han amenazado con acciones legales si lo publican. Sin embargo, han decidido hacer públicos los tres fallos con el objetivo de presionar para que los parcheen.

Juegos como CS:GO, afectados por tres fallos

Las vulnerabilidades están presentes en todos los juegos basados en el motor Source de Valve, incluyendo hasta la versión más actualizada de la misma. La forma de activar el primero de los fallos es mediante una simple invitación a una partida a través de la lista de amigos de Steam. Si la recibimos y le damos a Jugar, se abrirá el juego y se ejecutará la vulnerabilidad.

Con esta vulnerabilidad, el atacante tiene acceso completo al ordenador, y los investigadores demuestran el éxito del fallo abriendo la aplicación de Calculadora. En el siguiente vídeo podemos ver lo fácil que se puede aprovechar:

secret club

@the_secret_club

Two years ago, secret club member @floesen_ reported a remote code execution flaw affecting all source engine games. It can be triggered through a Steam invite. This has yet to be patched, and Valve is preventing us from publicly disclosing it. https://t.co/0FWRvEVuUX

10 de abril, 2021 • 15:02

2.5K

154

El fallo también se puede aprovechar por otra vía, donde el usuario sólo tiene que entrar a un servidor de la comunidad, que son los que gestionan los usuarios de manera privada en juegos como CS:GO al margen de los oficiales de Valve. Estos servidores destacan por ofrecer mapas o modos de juego personalizados, y en casi todas las ocasiones se descargan archivos que pueden poner en peligro nuestro PC. En este caso, no hace falta ni siquiera descargar los archivos para que un atacante pueda tomar el control de nuestro ordenador por completo.

secret club

@the_secret_club

On the topic of our previous thread, we have @brymko @cffsmith @scannell_simon showcasing their remote code execution 0-day for CS:GO. This has been reported to Valve months ago, but they have neither paid them nor acknowledged the exploit. https://t.co/yGUJTZZzrO

10 de abril, 2021 • 21:05

432

9

También hay un tercer fallo que también lleva a la ejecución de código remoto mediante una vulnerabilidad de día cero con sólo ejecutar un mapa modificado dentro del juego, el cual sí sería necesario descargar. En este caso también encontramos un vídeo para ver cómo funciona:

secret club

@the_secret_club

Third times a charm; @the_secret_club member mev showcases their remote code execution 0-day for CS:GO. This has been reported to Valve 5 months ago with no response from Valve. https://t.co/Jw8icRPh3j

10 de abril, 2021 • 21:29

500

13

El fallo todavía no está parcheado

Mientras Valve decide o no parchear estos tres fallos, es importante no aceptar invitaciones de amistad de desconocidos y mucho menos sus invitaciones para jugar. Si quieres estar protegido del todo y no sueles jugar con amigos, una opción es ponerte como Desconectado en la Lista de amigos, de manera que nadie pueda invitarte a jugar ni puedan abrirte chat.

El problema de este fallo es que, incluso evites invitaciones de desconocidos, este fallo te puede llegar también a través de tus amigos si los hackers han conseguido hacerse con el control de su ordenador. En cuanto se descubra cómo funciona el exploit, podríamos ver una enorme dispersión por parte de los atacantes a través de la lista de amigos de los usuarios de Steam. Al tomar el control de un PC, no sólo pueden abrir Steam, sino que pueden robar tu dinero, mensajes, archivos, etc. Y tener Steam Guard no servirá de mucho.