Valve חיכה 15 חודשים כדי לתקן פגם בחומרה גבוהה. האקר התנפל

חוקרים חשפו ארבעה מצבי משחק שיכולים לנצל בהצלחה פגיעות קריטית שנותרה ללא תיקון דוטה 2 משחק וידאו למשך 15 חודשים לאחר שתיקון הפך זמין.

הפגיעות, במעקב כמו CVE-2021-38003, התגורר במנוע הקוד הפתוח JavaScript מבית גוגל המכונה V8, המשולב ב דוטה 2. למרות שגוגל תיקן את הפגיעות באוקטובר 2021, דוטה 2 המפתחת Valve לא עדכנה את התוכנה שלה כדי להשתמש במנוע ה-V8 המתוקן עד בחודש שעבר, לאחר שחוקרים התריעו באופן פרטי בפני החברה על כך שהפגיעות הקריטית ממוקדת.

כוונות לא ברורות

האקר ניצל את העיכוב על ידי פרסום מצב משחק מותאם אישית במרץ האחרון שניצל את הפגיעות, חוקרים מחברת האבטחה Avast אמר. באותו חודש, אותו האקר פרסם שלושה מצבי משחק נוספים שסביר מאוד שגם ניצלו את הפגיעות. מלבד תיקון הפגיעות בחודש שעבר, Valve גם הסירה את כל ארבעת המצבים.

מצבים מותאמים אישית הם הרחבות או אפילו משחקים חדשים לגמרי שפועלים על גבי דוטה 2. הם מאפשרים לאנשים עם ניסיון תכנות בסיסי אפילו ליישם את הרעיונות שלהם למשחק ואז להגיש אותם ל-Valve. לאחר מכן, יצרנית המשחקים מעבירה את ההגשות לתהליך אימות, ואם הן מאושרות, מפרסמת אותן.

נראה שמצב המשחק הראשון שפורסם על ידי Valve הוא פרויקט הוכחת קונספט לניצול הפגיעות. זה נקרא "תוסף בדיקה בבקשה להתעלם" (מזהה 1556548695) וכלל תיאור שקורא לאנשים לא להוריד או להתקין אותו. בתוך המצב הוטבע קוד ניצול עבור CVE-2021-38003. בעוד שחלק מהניצול נלקח מקוד הוכחת מושג שפורסם במעקב אחר באגים של Chromium, מפתח המצב כתב הרבה ממנו מאפס. המצב כלל הרבה קוד שהגיב וקובץ שכותרתו "evil.lua", עוד יותר מצביע על כך שהמצב היה מבחן.

חוקרי Avast המשיכו למצוא שלושה מצבים מותאמים אישית נוספים שאותו מפתח פרסם ל-Valve. המצבים האלה - עם הכותרת "Overdog no annoying heroes" (מזהה 2776998052), "Custom Hero Brawl" (מזהה 2780728794), ו- Overthrow RTZ Edition X10 XP (מזהה 2780559339) - נקטו בגישה הרבה יותר סמויה.

חוקר Avast Jan Vojtěšek הסביר:

הקוד הזדוני בשלושת מצבי המשחק החדשים הללו הוא הרבה יותר עדין. אין קובץ בשם evil.lua וגם לא כל ניצול JavaScript גלוי ישירות בקוד המקור. במקום זאת, יש רק דלת אחורית פשוטה המורכבת מכ-20 שורות קוד בלבד. דלת אחורית זו יכולה להפעיל JavaScript שרירותי שהורדו באמצעות HTTP, מה שנותן לתוקף לא רק את היכולת להסתיר את קוד הניצול, אלא גם את היכולת לעדכן אותו לפי שיקול דעתם מבלי לעדכן את כל מצב המשחק המותאם אישית (ולעבור את אימות מצב המשחק המסוכן תהליך).

השרת ששלושת המצבים האלה יצרו קשר עם לא פעל עוד כאשר חוקרי Avast גילו את המצבים. אבל בהתחשב בכך שהם פורסמו על ידי אותו מפתח 10 ימים לאחר המצב הראשון, Avast אומרת שיש סבירות גבוהה שהקוד שהורד ניצל גם את CVE-2021-38003.

במייל, Vojtěšek תיאר את זרימת הפעולה של הדלת האחורית כך:

1. הקורבן נכנס למשחק, משחק באחד ממצבי המשחק הזדוניים.

2. המשחק נטען כצפוי, אך ברקע, JavaScript זדוני יוצר קשר עם השרת של מצב המשחק.

3. קוד השרת של מצב המשחק מגיע לשרת C&C של הדלת האחורית, מוריד פיסת JavaScript קוד (כנראה, הניצול עבור CVE-2021-38003), ומחזיר את הקוד שהורד בחזרה לקורבן.

4. הקורבן מבצע באופן דינמי את ה-JavaScript שהורד. אם זה היה הניצול עבור CVE-2021-38003, זה היה מביא לביצוע קוד מעטפת במחשב הקורבן.

נציגי Valve לא הגיבו לדוא"ל המבקש תגובה לסיפור הזה.

החוקרים חיפשו עוד דוטה 2 מצבי משחק שניצלו את הפגיעות, אבל עקבותיהם התקררו. בסופו של דבר, זה אומר שלא ניתן לקבוע במדויק מה כוונותיו של היזם עבור המצבים היו, אבל הפוסט של Avast אמר שיש שתי סיבות לחשוד שהם לא רק לשפירים מחקר.

"ראשית, התוקף לא דיווח על הפגיעות ל-Valve (דבר שבדרך כלל ייחשב כדבר נחמד לעשות)", כתב Vojtěšek. שנית, התוקף ניסה להסתיר את הניצול בדלת אחורית חמקנית. בלי קשר, יתכן גם שלתוקף לא היו כוונות זדוניות גרידא, שכן תוקף כזה יכול לטעון לנצל את הפגיעות הזו עם השפעה הרבה יותר גדולה."