ZERO-DAY sulla piattaforma di gioco STEAM. ZERO-DAY for Steam .

Tu giochi, ma anche loro con il tuo PC !

L’esperto di sicurezza delle applicazioni web Vasily Kravets,  sostiene di aver scoperto una vulnerabilità critica zero-day nel client Windows della popolare piattaforma di videogiochi online Steam.

Secondo Vasily Kravets, la vulnerabilità risiede nel Servizio Clienti di Steam e, se sfruttata, permetterebbe di eseguire codice arbitrario con privilegi di LocalSystem semplicemente usando pochi comandi. Vasily Kravets afferma che :”Un utente senza privilegi di amministratore potrebbe facilmente sfruttare questo dispositivo per avviare o interrompere il servizio clienti Steam”.

 ZERO-DAY SULLA PIATTAFORMA DI GIOCO ONLINE STEAM
ZERO-DAY SULLA PIATTAFORMA DI GIOCO ONLINE STEAM –  ZERO-DAY for Steam

Questa funzione Steam imposta i permessi su diverse chiavi di registro per impostazione predefinita, in modo che qualsiasi utente malintenzionato possa stabilire un collegamento tra una di queste chiavi e un’altra appartenente a un servizio esterno. In caso di successo, l’aggressore sarà in grado di fermare o avviare il servizio a volontà.



Vasily Kravets sostiene che ha notificato agli sviluppatori Steam Valve Software della vulnerabilità il 15 giugno, attraverso la piattaforma HackerOne. Kravets cita anche che ha allegato nella relazione una descrizione dettagliata dell’attacco, una prova logica e un file eseguibile.

In risposta, HackerOne ha notificato a Kravets che la vulnerabilità gli era stata respinta perché si tratta di “un attacco che dipende dalla capacità di collocare i file in posizioni arbitrarie sul file system dell’utente, quindi non rientra nell’ambito del programma di segnalazione delle vulnerabilità”.

Tuttavia, l’esperto di sicurezza delle applicazioni web ha insistito sul fatto che la vulnerabilità era sfruttabile, così ha discusso il caso con lo staff di HackerOne fino a quando uno dei gestori della piattaforma ha deciso di provare a riprodurre l’exploit. Successivamente, la vulnerabilità è stata confermata e il rapporto è stato nuovamente inviato a Valve Software.



Quando l’azienda nega !

ZERO-DAY for Steam – Le peripezie di Kravets non finiscono qui. Un paio di settimane fa ha ricevuto un messaggio da un terzo dipendente di HackerOne che gli comunicava che la vulnerabilità segnalata era fuori ambito. Le ragioni per cui HackerOne ha sostenuto di aver posto questo difetto al di fuori del campo di applicazione dato che: “attacchi che richiedono la possibilità di posizionare i file in posizioni arbitrarie sul file system dell’utente” e “attacchi che richiedono l’accesso fisico al dispositivo dell’utente”. Dopo questo nuovo rifiuto, Kravets ha deciso di rendere pubblici i dettagli di questo difetto.

Dopo aver informato HackerOne della sua decisione, l’esperto ha ricevuto un nuovo messaggio dalla piattaforma, che gli vietava di rivelare la vulnerabilità. Tuttavia, l’esperto ha rivelato i dettagli sul fallimento il 7 agosto, sperando che l’azienda avrebbe implementato qualche aggiornamento o aggiornamento.

“Questo è un segno dello scarso interesse che le grandi aziende tecnologiche hanno per la sicurezza dei loro utenti”, ha detto Kravets. “A loro non interessa davvero riparare i loro difetti; le aziende non fanno nulla fino a quando non sono costrette a farlo”.