.
Válvula
Pesquisadores descobriram quatro modos de jogo que poderiam explorar com sucesso uma vulnerabilidade crítica que permaneceu sem correção no popular Dota 2 videogame por 15 meses após a disponibilização de uma correção.
A vulnerabilidade, rastreada como CVE-2021-38003, residia no mecanismo JavaScript de código aberto do Google conhecido como V8, que é incorporado ao Dota 2. Embora o Google tenha corrigido a vulnerabilidade em outubro de 2021, Dota 2 a desenvolvedora Valve não atualizou seu software para usar o mecanismo V8 corrigido até o mês passado, depois que os pesquisadores alertaram a empresa em particular de que a vulnerabilidade crítica estava sendo direcionada.
intenções obscuras
Um hacker aproveitou o atraso publicando um modo de jogo personalizado em março passado que explorou a vulnerabilidade, disseram pesquisadores da empresa de segurança Web Host. No mesmo mês, o mesmo hacker publicou três modos de jogo adicionais que muito provavelmente também exploraram a vulnerabilidade. Além de corrigir a vulnerabilidade no mês passado, a Valve também removeu todos os quatro modos.
Os modos personalizados são extensões ou até mesmo jogos completamente novos executados em cima de Dota 2. Eles permitem que pessoas com experiência básica em programação implementem suas ideias para um jogo e as enviem à Valve. O criador do jogo então submete os envios a um processo de verificação e, se forem aprovados, os publica.
O primeiro modo de jogo publicado pela Valve parece ser um projeto de prova de conceito para explorar a vulnerabilidade. Ele foi intitulado “test addon plz ignore” (ID 1556548695) e incluía uma descrição que instava as pessoas a não baixá-lo ou instalá-lo. Incorporado dentro do modo estava o código de exploração para CVE-2021-38003. Embora parte da exploração tenha sido retirada do código de prova de conceito publicado no rastreador de bugs do Chromium, o desenvolvedor do modo escreveu muito do zero. O modo incluía muitos códigos comentados e um arquivo intitulado “evil.lua”, sugerindo ainda mais que o modo era um teste.
Os pesquisadores da Web Host encontraram mais três modos personalizados que o mesmo desenvolvedor havia publicado para a Valve. Esses modos – intitulados “Overdog sem heróis irritantes” (id 2776998052), “Custom Hero Brawl” (id 2780728794) e Overthrow RTZ Edition X10 XP (id 2780559339) – adotaram uma abordagem muito mais secreta.
O pesquisador da Web Host, Jan Vojtěšek, explicou:
O código malicioso nesses três novos modos de jogo é muito mais sutil. Não há nenhum arquivo chamado evil.lua nem qualquer exploração de JavaScript diretamente visível no código-fonte. Em vez disso, há apenas um backdoor simples que consiste em apenas cerca de vinte linhas de código. Este backdoor pode executar JavaScript arbitrário baixado via HTTP, dando ao invasor não apenas a capacidade de ocultar o código de exploração, mas também a capacidade de atualizá-lo a seu critério sem ter que atualizar todo o modo de jogo personalizado (e passar pelo modo de jogo arriscado processo de verificação).
O servidor que esses três modos contataram não estava mais funcionando quando os pesquisadores da Web Host descobriram os modos. Mas, como foram publicados pelo mesmo desenvolvedor 10 dias após o primeiro modo, a Web Host diz que há uma grande probabilidade de que o código baixado também tenha explorado o CVE-2021-38003.
Em um e-mail, Vojtěšek descreveu o fluxo de operação do backdoor desta forma:
A vítima entra em um jogo, jogando um dos modos de jogo maliciosos.
O jogo carrega como esperado, mas em segundo plano, um JavaScript malicioso entra em contato com o servidor do modo de jogo.
O código do servidor do modo de jogo alcança o servidor C&C do backdoor, faz o download de um código JavaScript (presumivelmente, o exploit para CVE-2021-38003) e devolve o código baixado à vítima.
A vítima executa dinamicamente o JavaScript baixado. Se esse fosse o exploit para CVE-2021-38003, isso resultaria na execução do shellcode na máquina vítima.
Os representantes da Valve não responderam a um e-mail solicitando comentários para esta história.
Os pesquisadores procuraram mais Dota 2 modos de jogo que exploraram a vulnerabilidade, mas seu rastro esfriou. Em última análise, isso significa que não é possível determinar com precisão quais eram as intenções do desenvolvedor para os modos, mas o post do Web Host disse que havia duas razões para suspeitar que não eram puramente para pesquisa benigna.
“Primeiro, o invasor não relatou a vulnerabilidade à Valve (o que geralmente seria considerado uma coisa boa de se fazer)”, escreveu Vojtěšek. “Segundo, o atacante tentou esconder o exploit em um backdoor furtivo. Independentemente disso, também é possível que o invasor não tenha intenções puramente maliciosas, já que tal invasor poderia, sem dúvida, abusar dessa vulnerabilidade com um impacto muito maior.”
.
