Poważna luka zabezpieczeń Steam naraża 96 mln użytkowników
Popularność Steama oznacza również większą podatność na ataki. Czterdzieści pięć dni temu posługujący się przydomkiem "Windows Priviledge Escalator" Wasilij Krawets odkrył poważną lukę zabezpieczenia (typu zero-day) platformy Valve i przedstawił ją firmie. Niestety ta nie zareagowała na jego apel o zajęcie się problemem. Dlatego też Krawets postanowił upublicznić swoje odkrycie. Potencjalnie zagrożonych jest nawet 96 milionów użytkowników Steama, a statystyki pokazują, że 72 mln z nich to posiadacze Windows 10. Luka pozwala na uzyskanie uprawnień administratorskich, a więc w teorii otwiera drogę do szeregu ataków na komputerach.
Najnowsza luka typu zero-day w Steamie naraża na niebezpieczeństwo aż 96 milionów użytkowników. Po jej upublicznieniu, Valve nadal nie odniosło się ani nie rozwiązało problemu.
Odkryty przez Krawetsa exploit polega na eskalację uprawnień systemu, dającą ostatecznie przywileje administratorskie. W grę wchodzi między innymi zdalna instalacja złośliwego oprogramowania, kradzież danych, wycieki haseł i prywatnych informacji. Co więcej, niektóre rodzaje ataków, jakie niesie ze sobą luka zabezpieczeń Steama nie wymagają nawet uprawnień admina. Według danych Steam z lipca 2019 z platformy korzysta przeciętnie 100 milionów użytkowników, z czego 96% z nich to posiadacze komputerów z Windowsem. Stąd też szacowana liczba potencjalnie zagrożonych 96 mln graczy (72 mln z nich używa Windows 10).
Plotka: Valve zmieni interfejs Steam nie do poznania
Krawets swoje odkrycie przedstawił za pomocą tzw. systemu "bug bounty", HackerOne. Początkowo zagrożenie zbagatelizowano, jednak rosyjski specjalista ds. zabezpieczeń był w stanie przekonać HackerOne do tego, by przesłać jego raport do Valve w trybie natychmiastowym. Niestety został on odrzucony. Na domiar złego złośliwy kod opublikowano już w sieci, a więc może zostać przystosowany do własnych potrzeb przez kogokolwiek ze złośliwymi zamiarami. John Opdenakker, specjalista od cyber-zagrożeń, zaleca standardowe kroki, czyli: zastosować weryfikację dwuetapową, a także nie wyłączać funkcji User Account Control. Valve na razie nie odniosło się publicznie do problemu.
Powiązane publikacje

Urządzenia z iOS i Android nadal narażone na juice jacking. Nowe badania ujawniają kolejne luki w zabezpieczeniach
16
Reklamy tworzone przez AI i prezenterzy radiowi, którzy nie istnieją - nowa rzeczywistość, w której bez weryfikacji informacji ani rusz
30
Cyberprzestępcy z pomocą GPT-4o Mini i AkiraBota zalali 80 000 stron internetowych automatycznie generowanymi treściami SEO
11
CISA ostrzega przed techniką Fast Flux. Cyberprzestępcy coraz skuteczniej ukrywają infrastrukturę ataków
17