Une vulnérabilité de sécurité dans le client Windows de Steam met les joueurs en danger

Beaucoup de personnes qui ne connaissent pas parfaitement le fonctionnement des logiciels seraient prêtes à se tirer affaire si elles apprennent q une plate-forme de jeu en ligne majeure comptant des millions utilisateurs souffre une vulnérabilité grave en matière de sécurité. Ceux qui connaissent bien industrie vous diront cependant que ce est ni rare ni particulièrement effrayant. Lorsq ils apprendront que le développeur de ladite plateforme ne souhaite pas résoudre rapidement le problème, ils vous diront toutefois que les choses ne vont pas bien.

Comme beaucoup entre vous ont peut-être déjà deviné, nous parlons de Steam. Vasily Kravets, un hacker au chapeau blanc, a découvert que les cybercriminels pouvaient abuser de Steam pour exécuter du code malveillant doté de droits administration sur des machines Windows. Selon Kravets, la vulnérabilité est facile à trouver et, plus inquiétant, facile à exploiter.

La plate-forme Windows de Steam présente une vulnérabilité grave en matière escalade de privilèges

Kravets a trouvé le trou en jouant avec Steam Client Service, un composant de la version Windows de Steam. Il a découvert q après le démarrage, Steam énumère les sous-clés sous HKLM \ Software \ Wow6432Node \ Valve \ Steam \ Apps et crée des descripteurs de sécurité pour chacun entre eux. Les descripteurs permettent à tous les utilisateurs de contrôler ces clés, qu’ils aient ou non des droits d’administrateur.

Kravets est rendu compte q une nouvelle sous-clé contenant un lien symbolique vers le service installation de Windows peut donner à un attaquant la possibilité exécuter des fichiers arbitraires sans droits administrateur. De plus, Windows Installer étant exécuté en tant que système local, il ne déclenche pas invite de contrôle de compte utilisateur (UAC) qui vous permet de choisir si les applications sont autorisées ou non à modifier votre ordinateur.

En termes simples, cette vulnérabilité permet aux utilisateurs non-administrateurs d’exécuter des fichiers avec des privilèges d’administrateur. Cela signifie q ils peuvent installer toutes sortes de programmes malveillants, y compris les ransomwares , les voleurs de mots de passe et les chevaux de Troie bancaires . Kravets a testé et exploité avec succès la vulnérabilité sur différentes machines Windows exécutant différentes versions du système exploitation Microsoft. Même si vous utilisez la dernière version de Windows 10 avec toutes les mises à jour de sécurité installées, vous pouvez être attaqué.

Windows étant le système exploitation de choix pour la plupart des joueurs, la vaste majorité des 90 millions utilisateurs actifs de Steam sont concernés. Cela rend la réaction de Steam tout à fait étrangère.

La vulnérabilité a pas encore été corrigée

Immédiatement après avoir découvert la faille, Kravets a utilisé le programme de primes de bogues de Steam pour tenter de divulguer de manière responsable la vulnérabilité et d’aider à la résolution du problème. HackerOne exécute ledit programme, ce qui signifie que ses employés gèrent les rapports de bogues avant de décider de les transmettre ou non à Valve, le développeur de Steam. un des employés a estimé que la vulnérabilité découverte par Kravets entre pas dans le cadre du programme de prime aux bogues et restera donc secrète. Kravets a insisté pour que son rapport soit examiné à nouveau et cette fois, il a été transmis à Valve. Malheureusement, peu de temps après, le développeur de la plate-forme de distribution de jeux la plus populaire au monde a également déclaré q il allait pas traiter le rapport plus avant.. Une fois encore, argument était que les vulnérabilités nécessitant un accès physique et un placement arbitraire de fichiers sur le périphérique de la victime ne sont pas couvertes par le programme de prime aux bogues. En conséquence, même si la faille a été signalée pour la première fois par HackerOne le 15 juin, près de deux mois plus tard, elle n’a toujours pas été corrigée dans le client Windows officiel de Steam.

Bien que Valve ait choisi de ne pas donner suite au rapport de Kravets, HackerOne a tenté de empêcher de divulguer publiquement ses conclusions. Le pirate informatique a cependant décidé que le monde devait en apprendre davantage sur le bogue et son rapport a été rendu public la semaine dernière. Matt Nelson, un autre chercheur en sécurité, semble également avoir travaillé sur le même virus, et lui aussi semble mécontent de la façon dont Valve gère le problème. Le 7 août, quelques heures à peine après la publication de son rapport par Kravets, Nelson a téléchargé le code de validation de concept sur GitHub, qui peut être utilisé pour exploiter cette vulnérabilité. En d’autres termes, toute personne disposant d’un navigateur peut maintenant savoir comment abuser son client Steam.

Apparemment, cela suffisait pour que Valve puisse enfin passer à action. Samedi, le client bêta de Steam a été mis à jour et les notes de publication indiquent que la nouvelle version est également livrée avec un correctif pour la vulnérabilité de Kravets. Espérons que le correctif sera bientôt disponible sur la version officielle. Ceci, notez bien, ne changera rien au fait que Valve a pas traité le problème avec le respect q il méritait.