Steam: descubren fallas críticas que permitían controlar la PC de jugadores
A través de estas vulnerabilidades de seguridad, los atacantes podrían tomar control de los dispositivos de los usuarios, robar sus credenciales y datos privados.
El equipo de investigadores de la firma de ciberseguridad Check Point Research descubrió varias vulnerabilidades importantes dentro de la biblioteca de Steam, las cuales podría haber permitido que ciberdelincuentes tomen el control de la computadora de los jugadores de forma remota.
Steam, desarrollada por Valve, es la plataforma de distribución de videojuegos de PC más grande a nivel mundial. En marzo de este año, en medio de la cuarentena por el coronavirus, el servicio alcanzó un récord de más de 20 millones de jugadores simultáneos.
Debido a su popularidad, Steam se convierte en un blanco atractivo para los atacantes. En la investigación de Check Point, se detectó cuatro fallas de seguridad críticas en la biblioteca de redes Valve’s Game Networking Sockets (GNS), también conocida como ‘Steam Sockets’.
Valve incluye esta biblioteca como parte de un conjunto de herramientas para desarrolladores de juegos de terceros. De acuerdo con Eyal Itkin, investigador de seguridad de Check Point, estas vulnerabilidades permitían una variedad de posibles ataques con “graves implicaciones”.
“Por ejemplo, un atacante podría bloquear de forma remota el cliente del videojuego de un oponente para forzar una victoria o incluso realizar un ‘abandono de rabia nuclear’ y bloquear completamente el servidor de juego de Valve”, detalla el informe.
Este problema puso en riesgo títulos que dependen de Steam Sockets para establecer un canal de comunicación seguro entre los jugadores, como Counter-Strike: Global Offensive, Dota 2, Half Life, Team Fortress 2, Bungie’s Destiny 2, entre otros.
Por otro lado, los investigadores aseguran que, potencialmente, la amenaza más dañina se podía dar en videojuegos desarrollados por terceros, ya que los atacantes podrían tomar el control del servidor del juego de forma remota para ejecutar código arbitrario.
Esto les permitiría controlar las computadoras de todos los usuarios conectados, robar sus credenciales y obtener información privada. A diferencia de otros ataques, donde la víctima debe pulsar un enlace o descargar un archivo para que se ejecute malware, en este caso, solo se requería que inicie sesión en el videojuego para conseguirlo.
Valve ya lanzó los parches de seguridad correspondientes para corregir los errores de Steam. Si utilizas las plataforma para acceder a juegos de terceros, Check Point sugiere verificar si estos se han actualizado después del 4 de setiembre. De no ser así, debes ponerte en contacto con el desarrollador.
