No começo de agosto, dois pesquisadores de segurança, Vasily Kravets e Matt Nelson, reportaram à Valve uma vulnerabilidade encontrada na versão Windows do Steam que permitia que malware pudesse realizar uma “escalada de privilégios”, e ser executado com permissões de administrador do sistema, o que daria a ele controle total sobre a máquina.
A empresa informou que lançou uma atualização definitiva para corrigir o problema. Os pesquisadores ainda não puderam testar se ela de fato é adequada, já que terão de esperar que o update chegue para todos da Steam para que possam ter acesso. Eles foram banidos do sistema HackerOne, que encoraja os pesquisadores a reportarem falhas.
Histórico de erros
Os pesquisadores reportaram a falha por meio do programa HackerOne . A Valve, por sua vez, informou que esse tipo de vulnerabilidade estava fora do escopo do programa, por isso, não faria nada para consertá-la.
Como forma de provar que a vulnerabilidade era perigosa e poderia ser explorada, Matt decidiu criar uma prova de conceito em que ele mostra a possibilidade de se controlar o sistema do computador para obter contas privilegiadas. Como resultado, Matt e Vasily foram banidos do HackerOne.
A Valve lançou uma atualização que supostamente corrigia a falha, mas essa não era uma correção adequada, já que foi facilmente contornada por um usuário do Twitter chamado de Xiaoyin Lu.
I found a way to bypass the fix. The bypass requires dropping a file in a nonadmin-writable location, so I think it’s out-of-scope for Valve. Write-up: https://t.co/Lalum8LTvY cc @PsiDragon @enigma0x3 @steam_games #infosec #steam #bugbounty https://t.co/qIylEG7u2L
— Xiaoyin Liu (@general_nfs) August 15, 2019
Em 20 de agosto, Kravets informou que a descoberta de Xiaoyin era verdadeira, mas que não pôde denunciá-la para a Valve porque ele havia sido banido do programa de HackerOne.
Após a repercussão do caso, a Valve admitiu publicamente o erro e informa que atualizou suas políticas do HackerOne para que esse tipo de vulnerabilidade possa ser reportada por todos.
Ao ser questionada se os pesquisadores ainda vão continuar banidos, a empresa afirma que vai analisar os casos, mas que não vai comentar sobre cada um separadamente.
Via: Bleeping Computer
Tags: