Si usas Steam, cualquiera puede controlar tu PC con estos 3 fallos

Si usas Steam, cualquiera puede controlar tu PC con estos 3 fallos

Alberto García

A pesar de que cada vez hay un mayor interés por las grandes empresas en la ciberseguridad, 2021 está demostrando que sigue habiendo graves vulnerabilidades en el software que usamos a diario. Esta semana hemos conocido un grave fallo en WhatsApp que la compañía no quiere parchear, y ahora ocurre lo mismo con Valve, donde tres fallos de seguridad diferentes permiten tomar el control de cualquier ordenador que tenga Steam instalado.

La vulnerabilidad base lleva presente al menos dos años en el cliente de Steam para Windows 10. Los investigadores de ciberseguridad del grupo The Secret Club reportaron el primero de los fallos hace dos años a Valve, pero la compañía ha hecho caso omiso y no les ha respondido. El último fallo que reportaron fue hace cinco meses, pero también les han ignorado, e incluso les han amenazado con acciones legales si lo publican. Sin embargo, han decidido hacer públicos los tres fallos con el objetivo de presionar para que los parcheen.

Juegos como CS:GO, afectados por tres fallos

Las vulnerabilidades están presentes en todos los juegos basados en el motor Source de Valve, incluyendo hasta la versión más actualizada de la misma. La forma de activar el primero de los fallos es mediante una simple invitación a una partida a través de la lista de amigos de Steam. Si la recibimos y le damos a Jugar, se abrirá el juego y se ejecutará la vulnerabilidad.

Con esta vulnerabilidad, el atacante tiene acceso completo al ordenador, y los investigadores demuestran el éxito del fallo abriendo la aplicación de Calculadora. En el siguiente vídeo podemos ver lo fácil que se puede aprovechar:

El fallo también se puede aprovechar por otra vía, donde el usuario sólo tiene que entrar a un servidor de la comunidad, que son los que gestionan los usuarios de manera privada en juegos como CS:GO al margen de los oficiales de Valve. Estos servidores destacan por ofrecer mapas o modos de juego personalizados, y en casi todas las ocasiones se descargan archivos que pueden poner en peligro nuestro PC. En este caso, no hace falta ni siquiera descargar los archivos para que un atacante pueda tomar el control de nuestro ordenador por completo.

También hay un tercer fallo que también lleva a la ejecución de código remoto mediante una vulnerabilidad de día cero con sólo ejecutar un mapa modificado dentro del juego, el cual sí sería necesario descargar. En este caso también encontramos un vídeo para ver cómo funciona:

El fallo todavía no está parcheado

Mientras Valve decide o no parchear estos tres fallos, es importante no aceptar invitaciones de amistad de desconocidos y mucho menos sus invitaciones para jugar. Si quieres estar protegido del todo y no sueles jugar con amigos, una opción es ponerte como Desconectado en la Lista de amigos, de manera que nadie pueda invitarte a jugar ni puedan abrirte chat.

El problema de este fallo es que, incluso evites invitaciones de desconocidos, este fallo te puede llegar también a través de tus amigos si los hackers han conseguido hacerse con el control de su ordenador. En cuanto se descubra cómo funciona el exploit, podríamos ver una enorme dispersión por parte de los atacantes a través de la lista de amigos de los usuarios de Steam. Al tomar el control de un PC, no sólo pueden abrir Steam, sino que pueden robar tu dinero, mensajes, archivos, etc. Y tener Steam Guard no servirá de mucho.