Steam est l’une des plus grandes plates-formes de jeu au monde. De nombreux utilisateurs de Windows 10 l’utilisent pour leurs sessions de jeu quotidiennes.

Désormais, des millions de joueurs Windows 10 pourraient être en danger en raison d'une vulnérabilité de sécurité «zéro jour» qui affecte Steam.

La sécurité de Steam pourrait être compromise

Le problème a été découvert par Vasily Kravets, un chercheur en sécurité, qui a déclaré que cette vulnérabilité pourrait ouvrir les ordinateurs concernés aux attaques de programmes malveillants, au vol de données et de mots de passe, etc.

Voici ce que le chercheur en sécurité a déclaré dans sa divulgation publique:

45 jours se sont écoulés depuis le rapport initial, je souhaite donc divulguer publiquement la vulnérabilité. J'espère que cela amènera les développeurs Steam à apporter des améliorations en matière de sécurité. Nous avons donc maintenant un primitif pour prendre le contrôle de presque toutes les clés du registre, et il est facile de le convertir en un système complet d’escalade de privilèges (EoP). Après avoir pris le contrôle, il suffit de modifier la valeur ImagePath de la clé HKLMSYSTEMControlSet001Servicesmsiserver et de démarrer le service «Windows Installer». Le programme à partir d'ImagePath sera lancé en tant que NT AUTHORITYSYSTEM.

L'escalade des privilèges dans Steam peut entraîner la perte de données et de mots de passe

Il s'agit d'une vulnérabilité d'élévation de privilèges qui permet à un attaquant disposant d'autorisations d'accès minimales d'obtenir les autorisations d'administrateur système. Cela signifie que les logiciels malveillants dotés de ces privilèges peuvent affecter votre confidentialité et vos données personnelles:

Certaines des menaces resteront même exécutées sans droits d'administrateur. les droits élevés des programmes malveillants peuvent augmenter considérablement les risques, les programmes pourraient désactiver l’antivirus, utiliser des zones sombres et profondes pour masquer et modifier presque tous les fichiers de n’importe quel utilisateur, voire même voler des données privées.

Ce problème avec le service client Steam est assez gros et pourrait entraîner de nombreux problèmes indésirables.

Partagez votre opinion sur la vulnérabilité de sécurité «zéro jour» de Steam dans la section commentaires ci-dessous et nous poursuivrons la discussion.