Kapak
Araştırmacılar, popüler oyunlarda yamasız kalan kritik bir güvenlik açığından başarıyla yararlanabilecek dört oyun modunu ortaya çıkardılar. Dota 2 bir düzeltme kullanıma sunulduktan sonra 15 ay boyunca video oyunu.
CVE-2021-38003 olarak izlenen güvenlik açığı, Google’ın V8 olarak bilinen açık kaynaklı JavaScript motorunda bulunuyordu. Dota 2. Google, güvenlik açığını Ekim 2021’de yamalamış olsa da, Dota 2 geliştirici Valve, araştırmacıların şirketi kritik güvenlik açığının hedeflendiğine dair özel olarak uyarmasının ardından geçen aya kadar yazılımını yamalı V8 motorunu kullanacak şekilde güncellemedi.
belirsiz niyetler
Güvenlik firması Avast’tan araştırmacılar, bir bilgisayar korsanının geçen Mart ayında güvenlik açığından yararlanan özel bir oyun modu yayınlayarak gecikmeden yararlandığını söyledi. Aynı ay, aynı bilgisayar korsanı, büyük olasılıkla güvenlik açığından da yararlanan üç ek oyun modu yayınladı. Geçen ay güvenlik açığını düzeltmenin yanı sıra Valve, dört modu da kaldırdı.
Özel modlar, uzantılar veya hatta üzerinde çalışan tamamen yeni oyunlardır. Dota 2. Temel programlama deneyimine sahip kişilerin bile fikirlerini bir oyun için uygulamalarına ve ardından bunları Valve’a sunmalarına olanak tanırlar. Oyun yapımcısı daha sonra başvuruları bir doğrulama sürecinden geçirir ve onaylanırsa yayınlar.
Valve tarafından yayınlanan ilk oyun modu, güvenlik açığından yararlanmaya yönelik bir kavram kanıtı projesi gibi görünüyor. “Eklentiyi test et, lütfen yoksay” (ID 1556548695) başlığını taşıyordu ve insanları onu indirmemeye veya yüklememeye teşvik eden bir açıklama içeriyordu. Modun içine yerleştirilmiş, CVE-2021-38003 için yararlanma koduydu. İstismarın bir kısmı Chromium hata izleyicisinde yayınlanan kavram kanıtı kodundan alınmış olsa da, mod geliştiricisi bunun çoğunu sıfırdan yazdı. Mod, çok sayıda yorumlanmış kod ve modun bir test olduğunu düşündüren “evil.lua” adlı bir dosya içeriyordu.
Avast araştırmacıları, aynı geliştiricinin Valve’a yayınladığı üç özel mod daha bulmaya devam etti. “Overdog no can sıkıcı kahramanlar” (id 2776998052), “Custom Hero Brawl” (id 2780728794) ve Overthrow RTZ Edition X10 XP (id 2780559339) başlıklı bu modlar çok daha gizli bir yaklaşım benimsedi.
Avast araştırmacısı Jan Vojtěšek şunları açıkladı:
Bu yeni üç oyun kipindeki kötü niyetli kod çok daha incelikli. Kaynak kodunda doğrudan görünen evil.lua adlı bir dosya veya herhangi bir JavaScript istismarı yoktur. Bunun yerine, yalnızca yaklaşık yirmi satır koddan oluşan basit bir arka kapı var. Bu arka kapı, HTTP yoluyla indirilen isteğe bağlı JavaScript’i çalıştırarak saldırgana yalnızca yararlanma kodunu gizleme yeteneği sağlamakla kalmaz, aynı zamanda özel oyun modunun tamamını güncellemek zorunda kalmadan (ve riskli oyun modundan geçmeden) kendi takdirine bağlı olarak güncelleme yeteneği de verir. Doğrulama süreci).
Bu üç modun iletişim kurduğu sunucu, Avast araştırmacıları modları keşfettiğinde artık çalışmıyordu. Ancak ilk moddan 10 gün sonra aynı geliştirici tarafından yayınlandıkları göz önüne alındığında Avast, indirilen kodun CVE-2021-38003’ten de yararlanma olasılığının yüksek olduğunu söylüyor.
Bir e-postada Vojtěšek, arka kapının işlem akışını şu şekilde açıkladı:
Kurban, kötü amaçlı oyun modlarından birini oynayarak bir oyuna girer.
Oyun beklendiği gibi yükleniyor, ancak arka planda kötü amaçlı bir JavaScript oyun modunun sunucusuyla bağlantı kuruyor.
Oyun modunun sunucu kodu, arka kapının C&C sunucusuna ulaşır, bir parça JavaScript kodu indirir (muhtemelen CVE-2021-38003 için açıktan yararlanma) ve indirilen kodu kurbana geri döndürür.
Kurban, indirilen JavaScript’i dinamik olarak yürütür. CVE-2021-38003’ün istismarı buysa, kurban makinede kabuk kodu yürütülmesine neden olur.
Valve temsilcileri, bu hikaye için yorum isteyen bir e-postaya yanıt vermedi.
Araştırmacılar ek aradı Dota 2 güvenlik açığından yararlanan oyun modları, ancak izleri soğudu. Sonuç olarak, bu, geliştiricinin modlarla ilgili niyetinin tam olarak ne olduğunu belirlemenin mümkün olmadığı anlamına gelir, ancak Avast gönderisinde, bunların tamamen iyi niyetli araştırma olmadığından şüphelenmek için iki neden olduğu belirtildi.
Vojtěšek, “İlk olarak, saldırgan güvenlik açığını Valve’a bildirmedi (bu genellikle yapılacak iyi bir şey olarak kabul edilir),” diye yazdı. “İkincisi, saldırgan açığı gizli bir arka kapıda saklamaya çalıştı. Ne olursa olsun, saldırganın tamamen kötü niyetli olmaması da mümkündür, çünkü böyle bir saldırgan tartışmalı bir şekilde bu güvenlik açığını çok daha büyük bir etkiyle kötüye kullanabilir.”
