Investigadores Descubren un Error en CS:GO que Podría Permitir a los Hackers Secuestrar su Computadora

Con el aumento de los ciberataques a nivel mundial, uno podría pensar que las empresas están prestando más atención a su infraestructura de seguridad. Aparentemente, ese no es el caso de Valve Corporation. Varios investigadores de seguridad descubrieron un error en el juego Counter-Strike: Global Offensive (CS:GO) de Valve que podría permitir a entidades maliciosas tomar el control de la computadora de un usuario. Uno de los investigadores que primero descubrió este error lo informó en 2019, pero Valve ignoró el informe hasta un reciente clamor público. En este artículo, hablaremos sobre la situación que rodea a este fallo de seguridad. 

¿Qué es Counter-Strike: Global Offensive (CS:GO)?

Counter-Strike es una serie de videojuegos de disparos en primera persona multijugador donde compiten dos equipos entre sí. Cada equipo consta de cinco jugadores y necesita completar objetivos específicos para ganar. Un grupo asume el papel de terroristas (Ts) que buscan cometer un acto de terror, mientras que el otro grupo asume el papel de antiterroristas (CTs). Al igual que la mayoría de los juegos de disparos en primera persona, el juego recompensa a los jugadores con una moneda virtual que pueden gastar en armas y otras cosas. Hay diferentes modos con diferentes objetivos y características. 

Lanzado inicialmente en el sistema operativo Windows en 2000, Counter-Strike se ha convertido en uno de los juegos de disparos en primera persona más prominentes de la historia. Está disponible en macOS, Windows, Linux, PS3 y Xbox360. La serie Counter-Strike tiene cuatro juegos principales: Counter-Strike, Condition Zero, Source, y Global Offensive. Aunque ha habido spin-offs, estas cuatro series son las que más personas han jugado a lo largo de los años. 

El lanzamiento más reciente es Global Offensive que Valve desarrolló y lanzó el 21 de agosto de 2012. Alrededor de 11 millones de personas lo juegan mensualmente en la plataforma Steam de Valve. Desde su inicio, Counter-Strike ha participado en varios torneos competitivos, incluyendo la Cyberathlete Professional League, World Cyber Games y Electronic Sports World Cup. Valve organiza el torneo más prestigioso de Counter-Strike y lo llama «Counter-Strike: Global Offensive Major Championships.» 

Investigadores encuentran error en CS:GO

Un grupo de hackers éticos conocido como The Secret Club encontró una nueva vulnerabilidad en el juego Counter-Strike: Global Offensive que permite a un hacker tomar el control de tu sistema informático si haces clic en una invitación para jugar el juego en Steam. Utilizando el sistema de invitación de Steam, los hackers pueden explotar este fallo y robar datos personales de cualquier persona que haga clic en el enlace de invitación a través de una ejecución de código remoto (RCE). Un miembro de The Secret Club descubrió el fallo en Source, un motor de juego en 3D desarrollado por Valve. Hay varios juegos que utilizan el motor Source, incluyendo Counter-Strike: Global Offensive. Sin embargo, la mayoría de los juegos que utilizan el motor Source ya no tienen el fallo. Desafortunadamente, los jugadores de Counter-Strike: Global Offensive estarán petrificados al saber que este fallo todavía existe en el juego.

Un miembro de The Secret Club llamado Florian (@floesen_ en Twitter) reportó inicialmente el fallo a Valve hace dos años (2019), pero el equipo de Valve no hizo nada para solucionarlo. Florian, un estudiante investigador, explicó que expresó sus preocupaciones sobre el fallo de ejecución de código remoto a Valve a través de HackerOne. HackerOne es una plataforma de recompensas por descubrimiento de fallos que los hackers pueden utilizar para contactar con empresas como Valve si descubren fallos o vulnerabilidades.

Florian reveló que a pesar de haber marcado el fallo como crítico, el equipo de Valve no hizo ningún esfuerzo por solucionarlo y fue lento en responder a las conversaciones sobre el fallo. Es inconcebible que una empresa con los recursos y la influencia que tiene Valve no tome en serio el tema de una brecha de seguridad. Parece que es la tendencia de Valve, ya que The Secret Club reveló en Twitter que Valve hizo lo mismo con otras dos vulnerabilidades que los miembros del equipo informaron.

Valve paga recompensa pero se niega a arreglar el fallo

Ya no es noticia que Florian informó del fallo RCE y Valve no lo solucionó. Lo sorprendente es que Valve reconoció el informe de Florian hace unos seis meses y pagó la recompensa pero aún no solucionó la vulnerabilidad. Dijo que la última vez que escuchó de Valve fue hace seis meses cuando le pagaron la recompensa a través de HackerOne. Valve incluso le aseguró que estaba trabajando en la solución de la vulnerabilidad, ya que previamente había solucionado algo similar en un juego que utiliza el motor Source.

El estudiante investigador explicó que confirmó que Valve efectivamente solucionó ese juego. Florian no reveló qué juego solucionó Valve y explicó por qué en una declaración. “Intencionalmente no mencionamos eso porque no queremos que la gente busque el parche en los binarios del juego ya que esto reduciría enormemente el esfuerzo para reconstruir el exploit para todos los otros juegos no parcheados.” Sin embargo, no entendemos por qué Valve decidió ignorar la vulnerabilidad de CS:GO durante cerca de dos años.

Debido a la política de Valve en HackerOne que impide a los cazadores de recompensas por errores informar sobre exploits, Florian no ha publicado un informe detallado sobre el error. Otros programas de recompensas por errores en HackerOne generalmente siguen una política que permite a los investigadores revelar vulnerabilidades si la empresa no las corrige después de un período especificado (generalmente alrededor de 90 o 180 días). Valve, por otro lado, no tiene tal política. 

Otros investigadores confirman que Valve ignoró informes sobre el error

Otros investigadores han confirmado que existe el error de CS:GO, y que Valve ha estado ignorando los informes al respecto. Carl Schou, un miembro destacado de The Secret Club, explicó que los malos actores podrían usar el error de CS:GO para robar datos sensibles, incluyendo información financiera y otras credenciales. Al menos otros tres investigadores afirman que Valve ignoró sus informes. Han publicado diferentes videos mostrando cómo funciona la falla de ejecución de código remoto cuando un usuario acepta una invitación a un servidor comunitario malintencionado.

Brymko (@brymko en Twitter), Carl Smith (@cffsmith en Twitter), y Simon Scannell (scannell_simon) tienen videos en YouTube demostrando la falla RCE de CS:GO. Después de publicar su video demostración del exploit en Twitter, otro investigador explicó cómo también informó del bug, pero Valve ignoró su informe durante más de un año. Bien Pham (@bienpnn en Twitter), un ingeniero de software, dice que informó del bug a Valve el 2 de abril de 2020, y la empresa lo ignoró. 

Valve finalmente soluciona el error

El 17 de abril de 2021, Florian (@floesen_ en Twitter) publicó esto en Twitter: “¡Buenas noticias! Valve solucionó mi reciente exploit y me dio permiso para revelar detalles. Dicho esto, estoy trabajando en un informe técnico detallado que voy a publicar pronto. ¡Estén atentos!” Aunque esta es una gran noticia, la negligencia de Valve muestra que no le importa proteger la información personal de sus usuarios o la integridad de sus juegos. 

En su cuenta de Twitter, The Secret Club ha informado de otros bugs que Valve no ha solucionado. Incluyen un error del servidor de la comunidad en Team Fortress 2 y otros dos errores de RCE en CS:GO. ¿Necesitaríamos otro clamor público antes de que Valve solucione estos problemas? 

Historia de Valve ignorando errores

En agosto de 2019, Vasily Kravets, un investigador de seguridad, publicó públicamente un exploit de día cero en la plataforma Steam de Valve después de que Valve le prohibiera participar en su programa de recompensas por errores HackerOne. Descubrió la falla en el cliente Steam que cualquier entidad malintencionada podría explotar. El error era una vulnerabilidad de escalada de privilegios que podría permitir a un mal actor ejecutar cualquier programa con los derechos de acceso más altos posibles en un sistema Windows con Steam de Valve instalado. 

De hecho, descubrió más de un error y solo hizo público después de descubrir el segundo error. Después de descubrir el primer error, presentó un informe en HackerOne que Valve rechazó porque su equipo de HackerOne no consideró que el error fuera un problema de seguridad. Luego, descubrió un segundo error e intentó informarlo, pero Valve le prohibió participar en su plataforma de recompensas por errores HackerOne. 

Cuarenta y cinco días después del descubrimiento inicial de Vasily Kravet, publicó el informe públicamente a pesar de que HackerOne le prohibió hacerlo. Sin embargo, después de su clamor público, Valve solucionó el exploit de escalada de privilegios. Valve reconoció que cometió un error al clasificar el descubrimiento inicial de Kravet como fuera de alcance. También actualizó sus directrices de informe de errores para evitar que ese tipo de error vuelva a ocurrir. 

Conclusión

El pasado y presente de Valve ha demostrado que presta poca atención a garantizar que sus usuarios de Steam tengan la mejor seguridad. Dado sus antecedentes, quizás quieras pensarlo dos veces antes de usar cualquiera de sus productos o servicios. Afortunadamente, Valve ha reparado el bug de CS:GO que permitía a malhechores tomar el control de tu sistema informático.