La vulnérabilité de base porte présent au moins deux ans chez le client de Steam pour Windows 10. Les chercheurs en cybersécurité du groupe The Secret Club ont signalé la première des failles il y a deux ans à Valve, mais la société l’a ignorée et n’y a pas répondu. La dernière décision qu’ils ont rapportée remonte à cinq mois, mais ils ont également été ignorés et même menacés de poursuites judiciaires s’ils la publient. Cependant, ils ont décidé de rendre les trois bogues publics afin de faire pression pour qu’ils soient corrigés.
Des jeux comme CS: GO, affectés par trois problèmes
Les vulnérabilités sont présentes dans tous les jeux basés dans le Moteur de source de vanne, y compris même la version la plus à jour de celui-ci. La façon d’activer le premier des défauts est au moyen d’un simple invitation à un jeu via la liste d’amis Steam. Si nous le recevons et le donnons à Play, le jeu s’ouvrira et la vulnérabilité sera exécutée.
Avec cette vulnérabilité, l’attaquant a accès complet à l’ordinateur, et les chercheurs démontrent le succès du bogue en ouvrant l’application Calculatrice. Dans la vidéo suivante, nous pouvons voir à quel point il peut être utilisé:
Il y a deux ans, membre du club secret @floesen_ a signalé une faille d’exécution de code à distance affectant tous les jeux du moteur source. Il peut être déclenché via une invitation Steam. Cela n’a pas encore été corrigé et Valve nous empêche de le divulguer publiquement. pic.twitter.com/0FWRvEVuUX
– club secret (@the_secret_club) 10 avril 2021
L’échec peut également être exploité d’une autre manière, où l’utilisateur n’a qu’à entrez un serveur de communauté, qui sont ceux que les utilisateurs gèrent en privé dans des jeux comme CS: GO en dehors des officiels de Valve. Ces serveurs se distinguent par l’offre de cartes ou de modes de jeu personnalisés, et dans presque tous les cas, des fichiers téléchargés peuvent mettre en danger notre PC. Dans ce cas, il n’est même pas nécessaire de télécharger les fichiers pour qu’un attaquant puisse prendre complètement le contrôle de notre ordinateur.
Sur le sujet de notre fil précédent, nous avons @brymko @cffsmith @scannell_simon présentant leur exécution de code à distance 0-day pour CS: GO. Cela a été rapporté à Valve il y a des mois, mais ils ne les ont ni payés ni reconnu l’exploit. pic.twitter.com/yGUJTZZzrO
– club secret (@the_secret_club) 10 avril 2021
Il existe également une troisième faille qui conduit également à l’exécution de code à distance via une vulnérabilité zero-day avec juste exécuter une carte modifiée dans le jeu, qu’il faudrait télécharger. Dans ce cas, nous trouvons également une vidéo pour voir comment cela fonctionne:
Troisième fois un charme; @the_secret_club Le membre mev présente son exécution de code à distance 0-day pour CS: GO. Cela a été signalé à Valve il y a 5 mois sans réponse de Valve. pic.twitter.com/Jw8icRPh3j
– club secret (@the_secret_club) 10 avril 2021
Le bogue n’est pas encore corrigé
Bien que Valve décide ou non de corriger ces trois failles, il est important de ne pas accepter les invitations d’amis d’étrangers, et encore moins leurs invitations à jouer. Si vous voulez être complètement protégé et que vous ne jouez généralement pas avec des amis, une option est de vous mettre comme Débranché dans la Liste d’amis, afin que personne ne puisse vous inviter à jouer ou à ouvrir une discussion.
Le problème avec ce bogue est que, même si vous évitez les invitations d’étrangers, ce bogue peut également vous atteindre via vos amis si des pirates ont réussi à prendre le contrôle de votre ordinateur. Dès qu’on découvre comment le exploit, nous pourrions voir une énorme propagation des attaquants via la liste d’amis des utilisateurs de Steam. En prenant le contrôle d’un PC, non seulement ils peuvent ouvrir Steam, mais ils peuvent aussi voler votre argent, vos messages, vos fichiers, etc. Et avoir Steam Guard ne fera pas beaucoup de bien.