Aż cztery poważne luki w zabezpieczeniach biblioteki sieciowej Steam wykryli specjaliści z Check Point Research. 25 milionów użytkowników platformy gamingowej było podatnych na ataki hakerskie, które mogły doprowadzać do przejęcia komputerów graczy, jak również wszystkich jednostek podłączonych do zewnętrznych serwerów gier.
Badacze bezpieczeństwa z Check Point Research zidentyfikowali cztery luki w popularnej platformie gier Steam, na której znajduje się ponad tysiąc gier, w tym takie tytuły jak Counter Strike: Global Offensive, Dota2 czy Half Life. W godzinach szczytu do platformy podłączonych jest nawet 25 milionów użytkowników, którzy za jej pośrednictwem kupują, grają oraz modyfikują gry komputerowe, tworząc niezwykle zaangażowane środowisko.
Luki bezpieczeństwa zostały znalezione w bibliotece sieciowej, znanej jako Steam Sockets, oferowanej jako część zestawu narzędzi dla niezależnych twórców gier. Podatności znajdowały się jednak zarówno na serwerach Steam, jak i na kontach klienta zainstalowanych na komputerze gracza.
Wykorzystując luki atakujący mógł dokonać zdalnego zawieszenia klienta gry przeciwnika (np. grając w CS, użytkownik mógł zawiesić serwer i zatrzymać grę, bez interakcji z przeciwnikiem), a w skrajnych przypadkach nawet przejąć komputer innego gracza.
W grach oraz dodatkach firm trzecich, w których osadzony został Steam Socket, badacze Check Pointa zidentyfikowali kolejną lukę, która mogła zostać wykorzystana do pełnego przejęcia serwerów gier! Przez tę samą podatność hakerzy mogli dokonać przejęcia wszystkich komputerów graczy podłączonych do danego serwera gry. Ten scenariusz działał jednak w przypadku gier innych firm niż Valve (właściciel platformy Steam).
W sumie badacze Check Pointa znaleźli wykryli luki w zabezpieczeniach, wymienione od CVE-2020-6016 do CVE-2020-6019. Check Point podzielił się swoimi spostrzeżeniami z Valve we wrześniu 2020 roku, a po 3 tygodniach prac poprawki zostały zaimplementowane do gier firmy Valve, za pomocą automatycznej aktualizacji. Valve zapewniło Check Pointa, że poinformowało zewnętrznych twórców gier o lukach w zabezpieczeniach.
To nie pierwszy przypadek wykrycia przez firmę Check Point podatności w oprogramowaniu producentów gier komputerowych. Na początku zeszłego roku badacze Check Pointa poinformowali o lukach w zabezpieczeniach Fortnite, natomiast pół roku później wykryli nieprawidłowości w zabezpieczeniach gier EA.