Investigadores: se puede abusar del protocolo Steam URL para explotar vulnerabilidades del juego

Los atacantes pueden abusar de la forma en que los navegadores y otras aplicaciones manejan las URL de protocolo vapor // para explotar vulnerabilidades graves en el cliente Steam o juegos instalados a través de la plataforma, según investigadores de ReVuln, empresa de consultoría e investigación sobre vulnerabilidades de inicio.

Steam es una plataforma popular de distribución digital y gestión de derechos digitales para juegos y, desde principios de este mes, otros productos de software. Según Valve Corporation, la empresa que desarrolló y opera la plataforma, Steam ofrece más de 2.000 títulos y cuenta con más de 40 millones de cuentas activas.

El cliente Steam puede ejecutarse en Windows, Mac OS X y Linux, aunque solo como versión beta. en este último SO.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

Cuando el cliente Steam está instalado en un sistema, se registra a sí mismo como un manejador de protocolo steam: // URL. Esto significa que cada vez que un usuario hace clic en una URL steam: // en un navegador o en una aplicación diferente, la URL se pasa al cliente Steam para su ejecución.

Steam: // Las URL pueden contener comandos de protocolo Steam para instalar o desinstala juegos, actualiza juegos, inicia juegos con ciertos parámetros, copia de seguridad de archivos o realiza otras acciones compatibles.

Los atacantes pueden abusar de estos comandos para explotar remotamente vulnerabilidades en el cliente Steam o los juegos Steam instalados en un sistema engañando a los usuarios para que abran maliciosamente crafted: // URLs, los investigadores y fundadores de seguridad de ReVuln, Luigi Auriemma y Donato Ferrante, dijeron en un artículo de investigación publicado el lunes.

El problema es que algunos navegadores y aplicaciones pasan automáticamente: // URLs al cliente de Steam sin pedir confirmación de los usuarios, dijeron los investigadores. Otros buscadores solicitan la confirmación del usuario, pero no muestran las URL completas o advierten sobre los peligros de permitir que se ejecuten dichas URL.

Según las pruebas realizadas por los investigadores de ReVuln, Internet Explorer 9, Google Chrome y Opera muestran advertencias y las URL steam: // completas o parciales antes de pasarlas al cliente Steam para su ejecución. Firefox también solicita la confirmación del usuario, pero no muestra la URL y no proporciona ninguna advertencia, mientras que Safari ejecuta automáticamente las URL de vapor: // sin confirmación del usuario, dijeron los investigadores.

"Todos los navegadores que ejecutan manejadores de URL externos directamente sin advertencias y los basados ​​en el motor de Mozilla (como Firefox y SeaMonkey) son un vector perfecto para realizar llamadas silenciosas al protocolo Steam Browser Protocol ", dijeron los investigadores. "Además, para navegadores como Internet Explorer y Opera, aún es posible ocultar la parte dudosa de la URL para que no se muestre en el mensaje de advertencia agregando varios espacios en la URL steam: //."

Además de engañar a los usuarios de forma manual haga clic en URL rogue steam: //, los atacantes pueden usar código JavaScript cargado en páginas maliciosas para redirigir navegadores a tales URL, Luigi Auriemma dijo el martes por correo electrónico.

Navegadores que requieren la confirmación del usuario para steam: // ejecución de URL por defecto generalmente ofrecer a los usuarios la opción de cambiar este comportamiento y hacer que las URL sean ejecutadas automáticamente por el cliente de Steam, dijo Auriemma. "Es muy posible que muchos jugadores ya tengan los enlaces steam: // directamente ejecutados en el navegador para evitar la molestia de confirmarlos todo el tiempo".

Una captura de pantalla del video de prueba de concepto creado por ReVuln que muestra cómo los atacantes pueden abusar de la forma en que los navegadores y otras aplicaciones manejan la secuencia: // URL de protocolo

Los investigadores lanzaron un video en el que demuestran cómo las URL de steam: // pueden usarse para explotar remotamente algunas vulnerabilidades que encontraron en el cliente Steam y juegos populares.

Por ejemplo, el comando "retailinstall" del protocolo Steam se puede usar para cargar un archivo de imagen splash TGA mal formado que explota una vulnerabilidad en el cliente Steam para ejecutar código malicioso en el contexto de su proceso, dijeron los investigadores.

En un ejemplo diferente, una URL steam: // se puede usar para ejecutar comandos legítimos encontrados en el motor de juegos Source de Valve para escribir un archivo.bat con contenido controlado por atacante dentro de la carpeta de inicio de Windows. Los archivos ubicados en el directorio Inicio de Windows se ejecutan automáticamente cuando los usuarios inician sesión.

El motor de juegos Source se usa en muchos juegos populares, como Half-Life, Counter-Strike y Team Fortress, que tienen decenas de millones de jugadores.

Otro popular motor de juegos llamado Unreal admite la carga de archivos desde directorios compartidos WebDAV o SMB remotos a través de parámetros de línea de comandos. Una URL rogue steam: // puede usarse para cargar un archivo malicioso desde una ubicación que explote una de las muchas vulnerabilidades de desbordamiento de enteros encontradas en el motor del juego para ejecutar código malicioso, dijeron los investigadores de ReVuln.

La actualización automática característica que se encuentra en algunos juegos como APB Reloaded o MicroVolts también se puede abusar a través de steam: // URLs para crear archivos con contenido controlado por atacante en el disco.

Para protegerse, los usuarios pueden deshabilitar el protocolo steam: // URL manejador manualmente o con una aplicación especializada, o puede usar un navegador que no ejecuta automáticamente: // URLs, dijo Auriemma. "La desventaja es que los jugadores que usan estos enlaces localmente (accesos directos) o en línea (navegador web) para unirse a los servidores o utilizar otras funciones de este protocolo no podrán usarlos".

Porque Safari es uno de los navegadores que automáticamente ejecuta steam: // URLs, los usuarios de Mac OS X, que representan la mayoría de la base de usuarios del navegador, podrían estar más expuestos a tales ataques. "Mac OS es la plataforma secundaria utilizada en Steam y muchos juegos están disponibles para esta plataforma, por lo que tiene una amplia base de usuarios", dijo Auriemma.

"En nuestra opinión, Valve debe eliminar el paso de los parámetros de línea de comandos a los juegos porque es demasiado peligroso y no pueden controlar cómo el software de terceros puede actuar con parámetros mal formados ", dijo el investigador.

Valve no devolvió inmediatamente una solicitud de comentarios.

A principios de este mes, Valve comenzó a distribuir no seleccionados juegos de juegos de títulos a través de Steam. Las vulnerabilidades encontradas en tales aplicaciones también pueden ser explotables a través de steam: // URLs, dijo Auriemma.

"En los últimos meses, Valve invirtió mucho en la plataforma Steam al lanzar la versión beta de Steam para Linux, agregando el servicio GreenLight donde los usuarios puede votar qué juegos les gustaría ver disponibles en Steam, agregó la sección de Software, agregó más juegos y algunos juegos destacados disponibles por tiempo limitado, toneladas de juegos gratuitos y mucho más ", dijo el investigador. "No había mejor momento para notar estos problemas que ahora".