2793 Letture
Problema di sicurezza in Steam interessa oltre 96 milioni di utenti Windows

Problema di sicurezza in Steam interessa oltre 96 milioni di utenti Windows

Il ricercatore russo balzato agli onori delle cronache nei giorni scorsi per aver scoperto una falla in Steam torna alla carica dopo essere stato escluso dal programma HackerOne. Spiega come malintenzionati e criminali informatici possono usare il client Steam per acquisire privilegi SYSTEM sui sistemi Windows.

Steam è la notissima piattaforma sviluppata da Valve che si occupa della distribuzione digitale e della gestione dei diritti digitali di centinaia di videogiochi realizzati e concessi in licenza da decine di produttori.

Un paio di settimane fa il ricercatore russo Vasily Kravets aveva segnalato un'importante vulnerabilità in Steam attraverso il programma bug bounty chiamato "HackerOne".
In questo caso, gli sviluppatori di Steam avevano rifiutato di considerare il problema di sicurezza segnalato da Kravets come un vero e proprio bug. Minacciando di rendere pubblica quella che secondo il suo scopritore era una lacuna che consentiva a utenti non autorizzati di acquisire privilegi maggiori, Kravets è stato bandito dalla piattaforma "HackerOne".

Problema di sicurezza in Steam interessa oltre 96 milioni di utenti Windows

Per "rincarare la dose" Kravets ha annunciato quest'oggi l'individuazione di una seconda vulnerabilità in Steam che interesserebbe oltre 96 milioni di utenti Windows. Il bug consente l'acquisizione di privilegi utente più elevati (vedere questo bollettino) e permette a malintenzionati e criminali informatici di eseguire codice arbitrario con i diritti SYSTEM facendo leva proprio sul client per Windows di Steam.

Nella sua dettagliata analisi Kravets dimostra come la nuova falla di sicurezza possa essere sfruttata per disattivare firewall e antimalware, installare rootkit, modificare la configurazione del sistema in uso e rubare i dati personali dell'utente.


Come si vede nei video realizzati da Kravets, la nuova falla individuata in Steam può essere sfruttata sia sferrando un attacco a livello di registro di sistema di Windows (vedere qui) che modificando il file system (consultare questo video).


A seguito delle proteste di questi giorni, i tecnici di Valve hanno confermato che considereranno l'eventualità di aggiornare Steam per correggere le vulnerabilità scoperte.

Problema di sicurezza in Steam interessa oltre 96 milioni di utenti Windows