Steam es una de las plataformas de videojuegos más grandes, cuenta con aproximadamente 30.000 juegos publicados de grandes compañías y de estudios independientes.

Como lo indica su página oficial Steam es el mejor lugar para «jugar, hablar sobre juegos y crearlos».

Los usuarios de Windows y Steam son los que presentan riesgos frente a esta vulnerabilidad
Steam

Aún con semejante popularidad Steam lleva años poniendo la seguridad de sus usuarios en riesgo con una reciente falla que se encuentra en su carpeta base y permite a hackers ingresar a nuestra pc de manera remota e instalar programas maliciosos y robar datos.

Vulnerabilidad LPE zero-day

Todo empezó cuando los investigadores Vasily Kravets y Matt Nelson encontraron la vulnerabilidad en Steam analizando el servicio de Windows asociado con Steam.

Se pusieron en contacto con Valve, creadora de Steam para informales acerca de una falla en su sistema, más precisamente en su Steam Client Service.

Steam: Vulnerabilidad Zero

Sin embargo, Valve hizo caso omiso afirmando que la vulnerabilidad no cumplía las reglas del programa y cuando Kravets insistió tuvo como respuesta la expulsión de la plataforma HackerOne, la cual es una plataforma a través la cual Valve paga a los usuarios que encuentren fallas en su sistema.

Así mismo, Kravets decidió que era necesario hacer pública esta falla cuando Valve le dijo que no tenía intención de solucionarlo.

Valve sigue sin solucionar el problema

Luego de que se hizo pública esta amenaza en foros y noticias, Valve decidió «tomar medidas» lanzando un parche donde aseguraba que esta vulnerabilidad estaba solucionada, sin embargo, esto no solucionó la falla.

Días después se descubrió otra falla zero-day aún peor que la anterior puesto que afectaba absolutamente a todos los usuarios Steam en Windows, qué según los datos esto es aproximadamente 96 millones de ordenadores, siendo así un 92,28% de usuarios que se encuentran en riesgo. 

Steam para Windows

Aún no se ha implementado la medida al respecto de la solución a esta falla.

A pesar de que cuenta con casi 100 millones de usuarios activos el posible riesgo de hackeo con consecuencias desastrosas no parece ser de relevancia para Valve.

¿En qué consiste la falla de Steam?

La amenaza es grave, se trata de una falla de escalado de privilegios que se encuentra en la carpeta base de Steam, permite al atacante ejecutar cualquier programa con los permisos de administrador, es decir, instala malwares en nuestro pc y sólo afecta a los ordenadores con sistema operativo Windows.

La computadora afectada por esta vulnerabilidad verá como un hacker desde algún lugar remoto instala rootkits, hardwares de minado, desactiva el antivirus y cortafuegos, además de robar datos y otro tipo de cosas que son de riesgo para nuestra pc y persona.

Permite al hacker instalar malware en nuestra pc

Esta vulnerabilidad existe gracias a que el grupo «USUARIOS» tiene permiso absoluto a la carpeta de instalación de Steam ubicada en C:\Archivos de programa (x86) \ Steam.

El atacante puede a través de este acceso reemplazar las DLL que se encuentran en esa carpeta y crear una copia maliciosa que le da acceso administrativo al ordenador.

No es la primera vez

Este fallo está presente en el sistema Steam para Windows desde hace muchos años, más precisamente desde 2015.

Se espera una próxima actualización Steam para corregir esta vulnerabilidad

Sin embargo, la empresa no explica porque tanta tardanza en corregir esta vulnerabilidad mientras millones de usuarios que usan Steam a través de Windows están arriesgando su seguridad y aumentando el peligro de sufrir un ataque informático.

Se espera que se lancé próximamente un parche, actualización o alguna solución a esta falla. Hay que estar atentos a próximas actualizaciones que pueda recibir la plataforma e instalarlas lo más pronto posible.

Video del proceso de hack (en inglés)
https://youtu.be/ZCHrjP0cMew