Nyhederne Dota 2 > Ventil efterlod et sikkerhedshul i Dota 2 i to år, indtil nogen prøvede at bruge det ⋆ Somag News
Ventil efterlod et sikkerhedshul i Dota 2 i to år, indtil nogen prøvede at bruge det ⋆ Somag News
I sammenhæng: Dota 2, udgivet i 2013, er stadig et af de mest populære multiplayer-spil blandt MOBA-fans. Og i 15 måneder var millioner af Dota 2-spillere potentielt sårbare over for fjernudførelse af kodeangreb på grund af Valves uopmærksomhed.
Valve er berygtet for ikke at skynde sig at skabe et nyt Half-Life-spil (faktisk ethvert nyt spil) eller tælle til tre. Den digitale distributionsgigant, som er medstiftet af Gabe Newell, er tilsyneladende lige så skødesløs med hensyn til farlige sikkerhedssårbarheder, og sætter spillere af et af dets mest populære spil i fare og tillader hackere at gå amok med deres ondsindede eksperimenter.
Det gratis MOBA Dota 2-spil er stadig ekstremt populært, på trods af at det oprindeligt blev udgivet for næsten 10 år siden, den 9. juli 2013. Som mange andre spil inkluderer Dota 2 en build af JavaScript V8-motoren skabt af Google til Chrome/Chromium-projekt. Det grundlæggende problem her er, at Valve indtil for nylig stadig brugte en forældet V8-motorkonstruktion, samlet i december 2018.
Udgaven, som er mere end fire år gammel, var fyldt med potentielt farlige sikkerhedsfejl. At gøre tingene værre, Dota2 bruger ikke V8 med nogen sandkassebeskyttelse. En angriber kan bruge problemet til at fjernstarte ondsindet kode mod Dota-spillere. Ifølge Avast er det præcis, hvad der skete, før Valve endelig opdaterede V8-motoren.
Avast-forskere opdagede, at en ukendt hacker testede en potentiel udnyttelse mod CVE-2021-38003, en ekstremt farlig sårbarhed i sikkerhedssystemet til V8-motoren med en alvorlighedsgrad på 8,8/10. Først gennemførte hackeren en tilsyneladende harmløs test ved at udgive en ny brugerdefineret spiltilstand – en måde for spillere at ændre spiloplevelsen på – med den indbyggede udnyttelseskode til CVE-2021-38003.
Derefter udgav hackeren yderligere tre spiltilstande, ved at bruge en mere skjult tilgang, ved at bruge en simpel bagdør bestående af kun “omkring tyve linjer kode.” Bagdøren kunne udføre vilkårlige JS-scripts downloadet fra kommando- og kontrolserveren over HTTP-protokollen. Det smarte trick gjorde det muligt for angriberen at skjule udnyttelseskoden og nemt opdatere den uden at sende en ny brugerdefineret spiltilstand til verifikation og mulig detektering. Med andre ord ville det give en hacker mulighed for dynamisk at udføre JavaScript-kode (og sandsynligvis CVE-2021-38003-udnyttelsen) i baggrunden.
Google rettet CVE-2021-38003 i oktober 2021. I mellemtiden begyndte en ukendt hacker eksperimenter i marts 2022. Dota 2-udviklerne gad ikke løse problemet før januar 2023, hvor Avast informerede dem om deres resultater. Yderligere analyse for at finde andre udnyttelser var mislykket, og Dota 2-hackerens sande motiver forbliver ukendte.
