Tom Court, investigador de la firma de seguridad Context, acaba de publicar los detalles de un exploit que encontró en el cliente de escritorio de Steam. Se trataba de un vulnerabilidad grave que permitía a hackers tomar el control de todo el ordenador del usuario. Pero lo peor de todo es que dicho exploit estuvo presente durante los últimos 10 años, sin que nadie se hubiera dado cuenta.
De acuerdo al hallazgo de Court, se trataba de un error muy simple y muy sencillo de explotar por hackers, donde el principal problema fue que el software de Steam carecía de protección contra los nuevos desarrollos de exploits.
15 millones de usuarios estuvieron en riesgo
Según explica Court, esta vulnerabilidad pudo ser explotada y afectar a los más de 15 millones de usuarios de Steam, quienes habrían perdido el control de sus ordenadores, dejando al descubierto toda su información, incluidas las credenciales del sistema y otros servicios. La buena noticia es que hasta el momento no hay indicios de que algún hacker haya aprovechado este fallo de seguridad.
Court continúa explicando que Valve parcheó parte del problema en julio de 2017, de hecho eliminó la parte más peligrosa de la vulnerabilidad. Pero aún después de esa revisión, el software seguía presentando un fallo, aunque de menor alcance ya que éste sólo provocaba el colapso del cliente y el hacker sólo podía implementar código malicioso de forma remota en la máquina de la víctima.
De hecho, Court realizó un vídeo donde él mismo lanza la aplicación de calculadora de forma remota aprovechando esta vulnerabilidad.
Court informó a Valve de este fallo desde que fue descubierto, y Valve le confirmó el 20 de febrero de este 2018 que la nueva versión beta del cliente de Steam ya resolvía el problema. El pasado 22 de marzo, esta versión dejó de ser beta y llegó a todos los usuarios, e incluso en las notas de la versión se le dan las gracias a Court.
La recomendación de Court es revisar constantemente el código antiguo aunque funcione bien, ya que esta es la única forma de garantizar que se cumplen con los estándares de seguridad.
"El hecho de que un error tan simple con consecuencias tan graves haya existido en una plataforma de software tan popular durante tantos años, puede sorprender que haya sido encontrado en este 2018, y esto debería servir de estímulo para que todos los investigadores busquen, encuentren y den a conocer más de estas vulnerabilidades."
Más información | Context
Ver todos los comentarios en https://www.xataka.com
VER 14 Comentarios