Un bug en CS:GO permite a un hacker tomar control total de tu PC con solo una invitación para jugar en Steam

Un bug en CS:GO permite a un hacker tomar control total de tu PC con solo una invitación para jugar en Steam
1 comentario Facebook Twitter Flipboard E-mail

Un investigador de seguridad conocido en Twitter como Florian, descubrió un fallo crítico en Source Engine, el motor de videojuegos que usa el famoso Counter Strike: Global Offensive de Valve, y otros juegos como Half-Life 2, Left 4 Dead, Team Fortress 2, etc.

Florian reportó el bug a Valve a través de HackerOne hace dos años, la plataforma de recompensas que utiliza la empresa para obtener reportes sobre vulnerabilidades. Sin embargo, según lo que explicó el investigador a Vice, a pesar de que Valve admitió que se trataba de un fallo crítico, todavía no lo han solucionado.

Un exploit que funciona el 80% del tiempo y que puede esparcirse casi como un gusano

El bug, que ha sido solucionado en otros juegos que usan el motor Source, sigue presente en CS:GO, y puede ser explotado para tomar control total del ordenador de la víctima a través de una simple invitación de Steam para jugar el juego.

Florian explica que fue capaz de crear un exploit para aprovecharse del bug y que este funciona el 80% del tiempo según sus cálculos. Además de esto, según el hacker, es posible convertir el exploit en un arma, ya que una vez que infectas a alguien, puedes infectar a sus amigos y así sucesivamente "casi como si fuese un gusano".

Estamos hablando de un juego que es uno de los pesos pesados de Steam, un multijugador que ha llegado a alcanzar casi 20 millones de usuarios simultáneos y que en estos momentos tiene un hueco de seguridad crítico que pone en riesgo a millones de jugadores.

Florian forma parte de The Secret Club, un grupo sin fines de lucro que se dedica a la ingeniería inversa y a la investigación de software. El grupo en cuestión ha estado compartiendo en Twitter otros bugs que sus miembros han descubierto en software de Valve, y que han sido ignorados por más de un año.

Valve no tiene el mejor historial a la hora de lidiar con bugs y con los investigadores que los reportan

Este tipo de problemas son cada vez más frecuentes con Valve. De hecho, ha habido múltiples incidentes notables en los últimos años. Tenemos el famoso exploit que puso en riesgo a los usuarios por 10 largos años. O, cómo en 2018 supimos de un magistral bug que permitía obtener las claves de activación de cualquier videojuego, que nunca supimos si se llegó a explotar y a que nivel.

En 2019 hubo una polémica mayor cuando investigadores descubrieron una vulnerabilidad en Steam que permitía ejecutar malware desde nuestro ordenador y afectaba a todos los usuarios de Windows. La polémica se dio porque tras hacer público el fallo, Valve hizo que expulsaran a los investigadores de HackerOne porque según ellos "no cumplía las reglas del programa".

Valve terminó admitiendo que fue un error expulsar al investigador, pero igual se quedó expulsado y nunca se comunicaron con él. Con este nuevo bug, The Secret Club ha querido dejar en evidencia que lo de Valve ignorando a los investigadores de seguridad es un patrón y no un caso aislado.

Comentarios cerrados
Inicio