El equipo de Check Point ha descubierto vulnerabilidades en la plataforma de juegos Steam de Valve. La raíz del problema se encuentra en la biblioteca Game Networking Sockets (GNS o Steam Sockets). GNS es la principal biblioteca utilizada en una amplia variedad de juegos, incluidos los propios de Valve (CS: GO, Dota2, Team Fortress 2), así como títulos de terceros (Destiny 2).

Los investigadores encontraron varias vulnerabilidades en la implementación de GNS de Valve a la vez. La biblioteca puede soportar la comunicación en dos modos P2P y cliente-servidor centralizado. Este factor se ha convertido en un factor clave. De esta forma los ciberdelincuentes pueden controlar un ordenador conectado a un servidor de juegos de terceros.

Vulnerabilidades de Steam

Al utilizar vulnerabilidades en GNS, los piratas informáticos podrían llevar a cabo muchos ataques con graves consecuencias. Por ejemplo, un atacante podría desactivar el cliente de juego de un oponente para ganar una partida, o incluso proporcionar rage quit “espectacular”, cerrando completamente el servidor de juego de Valve y asegurándose de que nadie pueda jugar normalmente.

Los expertos dicen que la situación más peligrosa es cuando los usuarios juegan a un juego creado por desarrolladores externos. En este caso, el hacker podría comprometer de forma remota el servidor del juego para ejecutar código arbitrario en él. Como resultado, el atacante obtuvo acceso a datos personales e información personal de otros jugadores.

Según estadísticas de Steam, los expertos concluyen que las vulnerabilidades en GNS amenazaban a cientos de miles de jugadores todos los días. En 2019 más de 95 millones de jugadores al mes usaban Steam, que tenían acceso a más de 34.000 juegos. Si los usuarios anteriores fueron atacados haciendo click en un enlace o descargando un archivo con malware, entonces en este caso podría convertirse en una víctima potencial simplemente entrando al juego.

En total, los expertos de Check Point notificaron a Valve sobre cuatro vulnerabilidades en GNS. En septiembre de 2020 los ingenieros de Valve eliminaron rápidamente todos los errores.

“Recomendamos que los usuarios actualicen los juegos de terceros. Se debe prestar especial atención a los juegos descargados antes del 4 de septiembre de 2020; fue en este día que Valve lanzó un parche para la biblioteca Steam”, dice Vasily Vasily Diaghilev, el Jefe de Tecnologías de Software Check Point en Rusia y el CIS.