News

Hacker expulsado del programa de recompensas de Valve expone una segunda vulnerabilidad de día cero en Steam

Un investigador de seguridad ha publicado de forma abierta información sobre una vulnerabilidad de día cero en Steam. El hacker dijo que había tomado esta polémica decisión, que puso en peligro la seguridad de la plataforma, porque la compañía le había prohibido enviar informes de vulnerabilidades para su producto en la plataforma HackerOne.

Esta es la segunda vulnerabilidad que Vasily Kravets descubre en Steam. Es una vulnerabilidad de elevación de privilegios que Kravets describió en detalle en su sitio aunque no había sido parchada.

En respuesta, Valve dijo que parcharía las dos vulnerabilidades expuestas por Kravets y consideraría reincorporarlo a su programa de recompensas de HackerOne. “Hemos publicado actualizaciones en el canal público beta de Steam Client para solucionar estos problemas y hemos lanzado algunas de las soluciones iniciales para todos los usuarios”, dijo la compañía.

La primera vulnerabilidad de Steam publicada por Kravets fue a mediados de julio. En aquella ocasión, intentó seguir el protocolo y anunció el problema a Valve mediante su programa de recompensas antes de compartir su descubrimiento en Internet. Sin embargo, Valve no lo reconoció como una vulnerabilidad de seguridad porque sólo se podía explotar de forma local y requería de “la capacidad de descargar archivos en ubicaciones arbitrarias del filesystem del usuario”, por lo que se negó a parcharla.

Aun así, la compañía le prohibió a Kravets publicar su descubrimiento, evitando que los usuarios se enteraran de la existencia del problema. Kravets publicó la información de todos modos y denunció la existencia de la vulnerabilidad de elevación de privilegios que permitía que otras aplicaciones o programas consigan privilegios de administrador para ejecutar códigos en Steam. Al hacerlo rompió las reglas de HackerOne y fue expulsado del programa de recompensas de Valve. La situación atrajo la atención de la comunidad y Valve publicó un parche para la falla.

“En resumen, Valve y H1 decidieron quitarme del programa por haber hecho esa denuncia pública”, dijo Kravets. “Lo entiendo y no tengo objeciones. Pero todavía pienso que hice lo correcto. Antes de hacerlo, Valve no tenía intención alguna de parchar la vulnerabilidad. Una vulnerabilidad es una vulnerabilidad aunque no encaje en el modelo de seguridad”, opinó Kravets.

Valve no hizo ninguna promesa en cuanto al futuro de Kravets, pero está abierto a evaluar si lo reincorporará a su programa de recompensas. “Estamos revisando cada una de las situaciones para determinar las acciones a seguir”, afirmó.

Fuentes
Researcher publishes second Steam zero day after getting banned on Valve’s bug bounty program • ZDNet
Researcher banned from Valve’s bug bounty exposes second Steam zero-day • The Inquirer
Steam cleaned of zero-day security holes after Valve turned off by bug bounty snub outrage • The Register

Hacker expulsado del programa de recompensas de Valve expone una segunda vulnerabilidad de día cero en Steam

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada