Poważna luka zabezpieczeń Steam naraża 96 mln użytkowników
Popularność Steama oznacza również większą podatność na ataki. Czterdzieści pięć dni temu posługujący się przydomkiem "Windows Priviledge Escalator" Wasilij Krawets odkrył poważną lukę zabezpieczenia (typu zero-day) platformy Valve i przedstawił ją firmie. Niestety ta nie zareagowała na jego apel o zajęcie się problemem. Dlatego też Krawets postanowił upublicznić swoje odkrycie. Potencjalnie zagrożonych jest nawet 96 milionów użytkowników Steama, a statystyki pokazują, że 72 mln z nich to posiadacze Windows 10. Luka pozwala na uzyskanie uprawnień administratorskich, a więc w teorii otwiera drogę do szeregu ataków na komputerach.
Najnowsza luka typu zero-day w Steamie naraża na niebezpieczeństwo aż 96 milionów użytkowników. Po jej upublicznieniu, Valve nadal nie odniosło się ani nie rozwiązało problemu.
![Poważna luka zabezpieczeń Steam naraża 96 mln użytkowników [1]](https://www.purepc.pl/image/news/2019/08/11_powazna_luka_zabezpieczen_steam_naraza_96_mln_uzytkownikow_0_b.jpg)
Odkryty przez Krawetsa exploit polega na eskalację uprawnień systemu, dającą ostatecznie przywileje administratorskie. W grę wchodzi między innymi zdalna instalacja złośliwego oprogramowania, kradzież danych, wycieki haseł i prywatnych informacji. Co więcej, niektóre rodzaje ataków, jakie niesie ze sobą luka zabezpieczeń Steama nie wymagają nawet uprawnień admina. Według danych Steam z lipca 2019 z platformy korzysta przeciętnie 100 milionów użytkowników, z czego 96% z nich to posiadacze komputerów z Windowsem. Stąd też szacowana liczba potencjalnie zagrożonych 96 mln graczy (72 mln z nich używa Windows 10).
Plotka: Valve zmieni interfejs Steam nie do poznania
![Poważna luka zabezpieczeń Steam naraża 96 mln użytkowników [2]](https://www.purepc.pl/image/news/2019/08/11_powazna_luka_zabezpieczen_steam_naraza_96_mln_uzytkownikow_1_b.jpg)
Krawets swoje odkrycie przedstawił za pomocą tzw. systemu "bug bounty", HackerOne. Początkowo zagrożenie zbagatelizowano, jednak rosyjski specjalista ds. zabezpieczeń był w stanie przekonać HackerOne do tego, by przesłać jego raport do Valve w trybie natychmiastowym. Niestety został on odrzucony. Na domiar złego złośliwy kod opublikowano już w sieci, a więc może zostać przystosowany do własnych potrzeb przez kogokolwiek ze złośliwymi zamiarami. John Opdenakker, specjalista od cyber-zagrożeń, zaleca standardowe kroki, czyli: zastosować weryfikację dwuetapową, a także nie wyłączać funkcji User Account Control. Valve na razie nie odniosło się publicznie do problemu.
Powiązane publikacje
Prywatność na Discordzie nie istnieje. Platforma Spy Pet śledzi miliony użytkowników i sprzedaje o nich informacje
19
DuckDuckGo Privacy Pro - nadchodzi pierwsza subskrypcja firmy, która pozwoli jeszcze bardziej chronić prywatność
16
Procesory Apple M1, M2 i M3 z poważną luką bezpieczeństwa, która może umożliwić kradzież kluczy kryptograficznych
30
Twórcy zabezpieczenia antypirackiego Denuvo prezentują nowe rozwiązanie. TraceMark pozwoli na namierzenie leakerów
106
