Una vulnerabilidad en Steam permitía a los hackers difundir malware

Cross-site scripting (XSS) es una vulnerabilidad común que puede encontrarse en las aplicaciones web. La forma en que funciona es bastante fácil de entender: El usuario luego ingresará un payload escrito en HTML en la entrada de texto de un sitio y JavaScript producirá algún tipo de comportamiento no deseado.

Esto podría ser benigno, pero también podría redirigir al usuario a un sitio web de phishing, o a la descarga de malware. La aplicación web deja de filtrar esta carga útil, obligando al navegador del usuario a renderizarla. Como resultado, la mayoría de los desarrolladores web competentes hacen el esfuerzo para mitigar este tipo de ataques. Pero es extremadamente difícil, sino imposible, mitigar contra todos ellos.

Ahora, un investigador de seguridad, apodado Cra0kalo, ha identificado una forma de introducir su propio código arbitrario en un perfil de Steam, evitando toda protección que Valve haya creado. Si bien la compañía ya resolvió el problema, durante horas estuvo expuesta a este ataque.

Al visitar la página, la modificación realizada por Cra0kalo intentaba descargar un archivo ejecutable de Windows. No había nada de qué alarmarse, ya que se trataba de un .exe bastante inofensivo. En un tweet, el desarrollador indicó que solo era una animación que hizo con VB6 cuando tenía 16 años, pero sirvió para mostrar los alcances de la falla: En manos equivocadas podría haber sido algo malicioso, como un programa de ransomware o cualquier otra variedad de virus.

Compartí este artículo

Dejá un comentario

 

Ingreso Clientes

Datos incorrectos. Por favor revisa el e-mail y la contraseña.

Ingresaste correctamente.

Olvidé mi contraseña

Cerrar

Recuperar contraseña

Te llegará un correo con la información acerca de como proceder.

Volver

Cerrar