Valve esperó 15 meses para corregir el error fatal. Cayó un hacker


Los investigadores de Valve han descubierto cuatro modos de juego que podrían explotar con éxito una vulnerabilidad crítica que permaneció sin parchear en el popular videojuego Dota 2 durante 15 meses después de que estuvo disponible una solución. La vulnerabilidad rastreada como CVE-2021-38003 residía en el motor JavaScript de código abierto de Google conocido como V8, que está integrado en Dota 2. Aunque Google parchó la vulnerabilidad en octubre de 2021, el desarrollador de Dota 2, Valve, no actualizó su software para usar el motor V8 parchado hasta el mes pasado, después de que los investigadores alertaran en privado a la empresa de que la vulnerabilidad crítica estaba siendo atacada.

intenciones poco claras

Un pirata informático aprovechó la demora al lanzar un modo de juego personalizado que explotó la vulnerabilidad en marzo pasado, dijeron investigadores de la firma de seguridad Avast. En el mismo mes, el mismo pirata informático lanzó tres modos de juego adicionales, que muy probablemente también explotaron la vulnerabilidad. Además de parchear la vulnerabilidad el mes pasado, Valve también eliminó los cuatro modos. Los modos personalizados son extensiones o incluso juegos completamente nuevos construidos sobre Dota 2. Permiten que personas con experiencia en programación incluso básica creen sus ideas para un juego y luego las envíen a Valve. Luego, el creador del juego somete los envíos a un proceso de verificación y los publica si se aprueban. El primer modo de juego lanzado por Valve parece ser un proyecto de prueba de concepto para explotar la vulnerabilidad. Se titulaba «Test Addon PLZ Ignore» (ID 1556548695) e incluía una descripción que le decía a la gente que no lo descargara ni instalara. Incrustado en el modo estaba el código de explotación para CVE-2021-38003. Si bien parte del exploit proviene del código de prueba de concepto publicado en el rastreador de errores de Chromium, el desarrollador del modo reescribió gran parte de él desde cero. El modo contenía una gran cantidad de código comentado y un archivo titulado «evil.lua» que sugería además que el modo era una prueba «Overdog, sin héroes molestos» (ID 2776998052), «Custom Hero Brawl» (ID 2780728794) y Overthrow RTZ Edition X10 XP (ID 2780559339): adoptó un enfoque mucho más encubierto. El investigador de Avast Jan Vojtěšek explicó:

El código malicioso de estos tres nuevos modos de juego es mucho más sutil. No hay un archivo llamado evil.lua ni un exploit de JavaScript directamente visible en el código fuente. En cambio, solo hay una puerta trasera simple que consta de solo unas veinte líneas de código. Esta puerta trasera puede ejecutar JavaScript arbitrario descargado a través de HTTP, lo que no solo le da al atacante la capacidad de ocultar el código de explotación, sino que también lo actualiza a su discreción sin tener que actualizar todo el modo de juego personalizado (y el riesgo de tener que pasar por el modo de juego). ). Proceso de verificación).

El servidor con el que contactaron estos tres modos dejó de funcionar cuando los investigadores de Avast descubrieron los modos. Pero dado que fueron lanzados por el mismo desarrollador 10 días después del primer modo, Avast dice que existe una alta posibilidad de que el código descargado también haya explotado CVE-2021-38003. En un correo electrónico, Vojtěšek describió el funcionamiento de la puerta trasera de la siguiente manera:

  1. La víctima ingresa a un juego y juega uno de los modos de juego maliciosos.

  2. El juego se carga como se esperaba, pero en segundo plano un JavaScript malicioso se pone en contacto con el servidor del modo de juego.

  3. El código del servidor del modo de juego llega al servidor C&C de puerta trasera, descarga un fragmento de código JavaScript (presumiblemente el exploit para CVE-2021-38003) y envía el código descargado a la víctima.

  4. La víctima ejecuta dinámicamente el JavaScript descargado. Si este fuera el exploit para CVE-2021-38003, resultaría en la ejecución de shellcode en la máquina víctima.

Los representantes de Valve no respondieron a un correo electrónico solicitando comentarios sobre esta historia. Los investigadores buscaron modos de juego adicionales de Dota 2 que explotaran la vulnerabilidad, pero no encontraron el rastro. En última instancia, esto significa que no es posible identificar exactamente cuáles eran las intenciones del desarrollador para los modos, pero la publicación de Avast decía que había dos razones para sospechar que no eran solo para una investigación inofensiva. «Primero, el atacante no informó la vulnerabilidad a Valve (lo que se considera algo bueno)», escribió Vojtěšek. “En segundo lugar, el atacante trató de ocultar el exploit en una puerta trasera sigilosa. De todos modos, también es posible que el atacante no tuviera intenciones puramente maliciosas, ya que podría decirse que tal atacante podría explotar esta vulnerabilidad con un efecto mucho mayor”.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.