Friendoffriends
Steam est l'une des plus grandes plates-formes de jeu au monde et elle est utilisée par de nombreux utilisateurs de Windows 10 pour leurs sessions de jeu quotidiennes.
Désormais, des millions de joueurs Windows 10 pourraient être menacés en raison d'une vulnérabilité de sécurité «zero-day» qui affecte Steam.
La sécurité de Steam pourrait être compromise
Le problème a été découvert par un chercheur en sécurité, Vasily Kravets, qui a déclaré que la vulnérabilité pourrait ouvrir les PC concernés aux attaques de logiciels malveillants, au vol de données et de mots de passe, etc..
Voici ce que le chercheur en sécurité a déclaré dans sa divulgation publique:
45 jours se sont écoulés depuis le rapport initial, je veux donc divulguer publiquement la vulnérabilité. J'espère que cela amènera les développeurs Steam à apporter des améliorations de sécurité. Ainsi, nous avons maintenant une primitive pour prendre le contrôle sur presque toutes les clés du registre, et il est facile de la convertir en un EoP complet (Escalation of Privileges). Après avoir pris le contrôle, il suffit de modifier la valeur ImagePath de la clé HKLMSYSTEMControlSet001Servicesmsiserver et de démarrer le service «Windows Installer». Le programme d'ImagePath sera lancé en tant que NT AUTHORITYSYSTEM.
L'augmentation des privilèges dans Steam peut entraîner la perte de données et de mot de passe
Il s'agit d'une vulnérabilité d'escalade de privilèges qui permet à un attaquant disposant d'autorisations d'accès minimales d'obtenir des autorisations d'administrateur système. Cela signifie que les logiciels malveillants dotés de ces privilèges élevés pourraient affecter votre confidentialité et vos données personnelles:
Certaines des menaces continueront même d'être exécutées sans droits d'administrateur. […] Les droits élevés des programmes malveillants peuvent augmenter considérablement les risques, les programmes pourraient désactiver l'antivirus, utiliser des endroits profonds et sombres pour cacher et modifier presque tous les fichiers de n'importe quel utilisateur, même voler des données privées.
Ce problème avec le service client Steam est assez important et pourrait entraîner de nombreux problèmes indésirables.
Partagez vos réflexions sur la vulnérabilité de sécurité «zero-day» de Steam dans la section commentaires ci-dessous et nous continuerons la discussion.
- La cyber-sécurité
- vapeur
- fenêtres 10
