steam
1

Steam z krytyczną podatnością – co poszło nie tak?

Podatność w programie klienckim Steama spowodowała, że użytkownicy mogli paść ofiarą przejęć kont, kradzieży przedmiotów w grach, a nawet infekcji za pomocą złośliwego oprogramowania. Na szczęście, błąd ten został już załatany przez Valve.

Przeglądarka serwerów w usłudze Steam pozwala bezpośrednio z programu klienckiego połączyć się z serwerem wielu gier (m. in. CS:GO, Half Life 2 i inne). I to własnie w niej pojawił błąd, który pozwalał cyberprzestępcom na bardzo wiele rzeczy. O jego występowaniu wiadomo było już od 15 marca, w tym momencie już nie ma możliwości eksploatowania luki. Co więcej, podatność można było znaleźć nie tylko w Steamie na Windows, ale również na macOS oraz Linuksie (choć nie udało się wykorzystać tych błędów na innych platformach).

Badacze z HackerOne ustalili, że szansa jego udanego wykorzystania wynosi około 0,2 procenta, jednak w dogodnych warunkach można było tego dokonać, głównie poprzez masową dystrybucję exploita wśród użytkowników posiadających podatne wersje klienta (szacuje się, że co 512 prób udaje się złapać przynajmniej jedną ofiarę). Jednak cyberprzestępcy mogli skorzystać również z innych luk, aby zwiększyć skuteczność ataku.

Wystarczy, że atakujący postawi serwer. Nic więcej robić nie musi

Już samo wyświetlenie informacji o serwerze w przeglądarce Steama mogło spowodować, że użytkownik stanie się ofiarą tego ataku. Od tego momentu jest on w stanie robić właściwie co mu się żywnie podoba: począwszy od przejęcia konta w platformie, aż po kradzież przedmiotów – skończywszy ostatecznie na możliwości doinstalowania złośliwego oprogramowania na komputerze ofiary.

steam

Eksperci z HackerOne orzekli natomiast, że nie istnieją żadne dowody na to, że ktokolwiek próbował wykorzystać tę podatność. Można więc z dużym prawdopodobieństwem założyć, że do takich incydentów nie dochodziło – aczkolwiek nie jest to absolutnie pewne, opisywana luka w Steamie była obecna w oprogramowaniu bardzo długo. Samo Valve po wdrożeniu poprawek do klienta Steam nie komentowała już tej sytuacji.

Odkrywcom podatności opłacało się zwrócić z tym problemem do Valve. Zarobili na tym całkiem niezłe pieniądze

W ramach funkcjonującego w obrębie platformy Steam programu bug bounty, eksperci z HackerOne skontaktowali się z Valve przekazując szczegóły ataku zgodnie z regulaminem. Co ciekawe, pierwsze sygnały o możliwości istnienia takiego ataku pojawiały się już… w grudniu zeszłego roku. W zamian za swoje odkrycie, specjaliści otrzymali 15 000 dolarów oraz bonus w wysokości 3 000 dolarów. I właśnie to stanowi o sile programów bug bounty: wypłacenie niewielkiej z punktu widzenia możliwych szkód nagrody jest zawsze tańsze niż konieczność uporania się z pożarem jaki powstaje tuż po udanych atakach. Jeżeli okaże się, że nikt nie wykorzystał tego błędu wcześniej, Valve może cieszyć się z udanej inwestycji.