Nepoznati haker kreirao je maliciozne načine igre za Dota 2 video igricu za više igrača na mreži borbene arene (MOBA) koja je mogla biti iskorištena za uspostavljanje backdoor pristupa sistemima igrača.
Režimi su iskoristili veliku grešku u V8 JavaScript engine-u praćenom kao CVE-2021-38003 (CVSS rezultat: 8,8), koji je iskorišten kao Zero-Day, riješeno od strane Google-a u oktobru 2021. godine.
“Pošto V8 nije bio zaštićen u Doti 2, eksploatacija je sama po sebi omogućila daljinsko izvršavanje koda protiv drugih Dota igrača”, rekao je istraživač Avast-a Jan Vojtěšek u izvještaju objavljenom prošle sedmice.
Nakon odgovornog otkrivanja Valve-u, izdavač igre je izdao popravke 12. januara 2023. godine nadogradnjom verzije V8.
Načini igre su u suštini prilagođene mogućnosti koje mogu ili povećati postojeći naslov ili ponuditi potpuno novi način igre na način koji odstupa od standardnih pravila.
Iako objavljivanje prilagođenog načina igre u Steam prodavnici uključuje proces provjere od strane Valve-a, maliciozni načini igre koje je otkrio dobavljač antivirusa uspjeli su proći kroz pukotine.
Ovi načini igre, koji su u međuvremenu uklonjeni, su “test addon plz ignore”, Overdog no annoying heroes”, “Custom Hero Brawl” i “Overthrow RTZ Edition X10 XP”. Haker je također objavio peti mod igre pod nazivom “Brawl in Petah Tiqwa” u koji nije spakovao nikakav lažni kod.
Ugrađena unutar “test addon plz ignore” je eksploatacija za V8 propust koji bi mogao biti naoružan za izvršavanje prilagođenog shell koda.
Ostala trojica, s druge strane, imaju prikriveniji pristup u smislu da je maliciozni kod dizajniran da dopre do udaljenog servera kako bi dohvatio JavaScript payload, što će takođe vjerovatno biti eksploatacija za CVE-2021-38003 jer server više nije dostupan.
U hipotetičkom scenariju napada, igrač koji pokreće jedan od gore navedenih načina igre mogao bi biti meta pretnje kako bi postigao udaljeni pristup zaraženom hostu i postavio dodatni maliciozni softver za dalju eksploataciju.
Nije odmah poznato koji su krajnji ciljevi programera bili iza kreiranja načina igre, ali malo je vjerovatno da će oni biti u benigne istraživačke svrhe, napominje Avast.
“Prvo, napadač nije prijavio ranjivost Valve-u, što bi se generalno smatralo kao pozitivna stvar” rekao je Vojtěšek. “Drugo, napadač je pokušao da sakrije eksploataciju u skrivenom backdoor-u.”
“Bez obzira na to, takođe je moguće da napadač nije imao čisto maliciozne namjere, jer bi takav napadač mogao zloupotrijebiti ovu ranjivost s mnogo većim učinkom.”
Izvor: The Hacker News