Válvula
Los investigadores han descubierto cuatro modos de juego que podrían explotar con éxito una vulnerabilidad crítica que permaneció sin parchear en el popular dota 2 videojuego durante 15 meses después de que se dispusiera de una corrección.
La vulnerabilidad, rastreada como CVE-2021-38003residía en el motor JavaScript de código abierto de Google conocido como V8, que está incorporado en dota 2. Aunque Google parcheó la vulnerabilidad en octubre de 2021, dota 2 El desarrollador Valve no actualizó su software para utilizar el motor V8 parcheado hasta el mes pasado, después de que los investigadores alertaran en privado a la empresa de que se estaba atacando la vulnerabilidad crítica.
intenciones poco claras
Un hacker aprovechó el retraso al publicar un modo de juego personalizado en marzo pasado que explotó la vulnerabilidad, investigadores de la firma de seguridad Avast. dicho. Ese mismo mes, el mismo hacker publicó tres modos de juego adicionales que muy probablemente también explotaron la vulnerabilidad. Además de parchear la vulnerabilidad el mes pasado, Valve también eliminó los cuatro modos.
Los modos personalizados son extensiones o incluso juegos completamente nuevos que se ejecutan sobre dota 2. Permiten que personas con experiencia en programación incluso básica implementen sus ideas para un juego y luego las envíen a Valve. Luego, el creador del juego somete los envíos a un proceso de verificación y, si se aprueban, los publica.
El primer modo de juego publicado por Valve parece ser un proyecto de prueba de concepto para explotar la vulnerabilidad. Se titulaba “test addon plz ignore” (ID 1556548695) e incluía una descripción que instaba a las personas a no descargarlo ni instalarlo. Incrustado dentro del modo estaba el código de explotación para CVE-2021-38003. Si bien parte del exploit se tomó del código de prueba de concepto publicado en el rastreador de errores de Chromium, el desarrollador del modo escribió gran parte desde cero. El modo incluía un montón de código comentado y un archivo titulado “evil.lua” que sugería además que el modo era una prueba.
Los investigadores de Avast encontraron otros tres modos personalizados que el mismo desarrollador había publicado en Valve. Estos modos, titulados “Overdog sin héroes molestos” (id. 2776998052), “Pelea de héroe personalizada” (id. 2780728794) y Overthrow RTZ Edition X10 XP (id. 2780559339), adoptaron un enfoque mucho más encubierto.
El investigador de Avast Jan Vojtěšek explicó:
El código malicioso de estos tres nuevos modos de juego es mucho más sutil. No hay ningún archivo llamado evil.lua ni ningún exploit de JavaScript directamente visible en el código fuente. En cambio, solo hay una puerta trasera simple que consta de solo unas veinte líneas de código. Esta puerta trasera puede ejecutar JavaScript arbitrario descargado a través de HTTP, lo que le brinda al atacante no solo la capacidad de ocultar el código de explotación, sino también la capacidad de actualizarlo a su discreción sin tener que actualizar todo el modo de juego personalizado (y pasar por el modo de juego arriesgado Proceso de verificación).
El servidor con el que se contactaron estos tres modos ya no funcionaba cuando los investigadores de Avast descubrieron los modos. Pero dado que fueron publicados por el mismo desarrollador 10 días después del primer modo, Avast dice que existe una alta probabilidad de que el código descargado también haya explotado CVE-2021-38003.
En un correo electrónico, Vojtěšek describió el flujo de operación de la puerta trasera de esta manera:
La víctima ingresa a un juego, jugando uno de los modos de juego maliciosos.
El juego se carga como se esperaba, pero en segundo plano, un JavaScript malicioso contacta con el servidor del modo de juego.
El código del servidor del modo de juego llega al servidor C&C de la puerta trasera, descarga un fragmento de código JavaScript (presumiblemente, el exploit para CVE-2021-38003) y devuelve el código descargado a la víctima.
La víctima ejecuta dinámicamente el JavaScript descargado. Si este fuera el exploit para CVE-2021-38003, esto resultaría en la ejecución de shellcode en la máquina víctima.
Los representantes de Valve no respondieron a un correo electrónico en busca de comentarios para esta historia.
Los investigadores buscaron más dota 2 modos de juego que explotaron la vulnerabilidad, pero su rastro se enfrió. En última instancia, eso significa que no es posible determinar con precisión cuáles eran las intenciones del desarrollador para los modos, pero la publicación de Avast decía que había dos razones para sospechar que no eran puramente para una investigación benigna.
“Primero, el atacante no informó la vulnerabilidad a Valve (lo que generalmente se consideraría algo agradable)”, escribió Vojtěšek. “En segundo lugar, el atacante trató de ocultar el exploit en una puerta trasera sigilosa. Independientemente, también es posible que el atacante tampoco tuviera intenciones puramente maliciosas, ya que podría decirse que tal atacante podría abusar de esta vulnerabilidad con un impacto mucho mayor”.