Ngày 13 tháng 2 năm 2023Ravie Lakshmanan Hack trò chơi / Đe dọa mạng
Một tác nhân đe dọa không xác định đã tạo ra các chế độ trò chơi độc hại cho trò chơi điện tử đấu trường trực tuyến nhiều người chơi Dota 2 (MOBA) có thể đã bị khai thác để thiết lập quyền truy cập cửa sau vào hệ thống của người chơi.
Các chế độ đã khai thác lỗ hổng nghiêm trọng cao trong công cụ JavaScript V8 được theo dõi là CVE-2021-38003 (điểm CVSS: 8,8), lỗ hổng này đã bị khai thác dưới dạng lỗ hổng zero-day và được Google xử lý vào tháng 10 năm 2021.
Nhà nghiên cứu Jan Vojtěšek của Avast cho biết trong một báo cáo được công bố vào tuần trước: “Vì V8 không được đóng hộp cát trong Dota, nên việc khai thác của chính nó đã cho phép thực thi mã từ xa đối với những người chơi Dota khác”.
Sau khi tiết lộ có trách nhiệm với Valve, nhà phát hành trò chơi đã gửi các bản sửa lỗi vào ngày 12 tháng 1 năm 2023, bằng cách nâng cấp phiên bản V8.
Các chế độ trò chơi về cơ bản là các khả năng tùy chỉnh có thể bổ sung cho một tựa game hiện có hoặc cung cấp lối chơi hoàn toàn mới theo cách khác với các quy tắc tiêu chuẩn.
Mặc dù xuất bản chế độ trò chơi tùy chỉnh lên cửa hàng Steam bao gồm quy trình kiểm tra từ Valve, các chế độ trò chơi độc hại do nhà cung cấp phần mềm chống vi-rút phát hiện đã cố gắng lọt qua các vết nứt.
Các chế độ trò chơi này, hiện đã bị gỡ xuống, là “thử nghiệm addon, vui lòng bỏ qua”, “Overdog không có anh hùng gây phiền nhiễu”, “Custom Hero Brawl” và “Lật đổ phiên bản RTZ X10 XP.” Kẻ đe dọa cũng được cho là đã xuất bản chế độ trò chơi thứ năm có tên Brawl in Petah Tiqwa không đóng gói bất kỳ mã lừa đảo nào.
Được nhúng bên trong “addon thử nghiệm, vui lòng bỏ qua” là một khai thác lỗ hổng V8 có thể được vũ khí hóa để thực thi mã shell tùy chỉnh.
Mặt khác, ba mã độc khác thực hiện một cách tiếp cận bí mật hơn trong đó mã độc được thiết kế để tiếp cận một máy chủ từ xa để lấy tải trọng JavaScript, đây cũng có khả năng là một khai thác cho CVE-2021-38003 vì máy chủ không thể truy cập được nữa.
Trong một kịch bản tấn công giả định, một người chơi khởi chạy một trong các chế độ trò chơi trên có thể bị tác nhân đe dọa nhắm mục tiêu để đạt được quyền truy cập từ xa vào máy chủ bị nhiễm và triển khai phần mềm độc hại bổ sung để khai thác thêm.
Avast lưu ý rằng mục tiêu cuối cùng của nhà phát triển đằng sau việc tạo ra các chế độ trò chơi là gì, nhưng chúng không có khả năng phục vụ cho mục đích nghiên cứu lành tính.
Vojtěšek nói: “Đầu tiên, kẻ tấn công đã không báo cáo lỗ hổng cho Valve (điều này thường được coi là một điều tốt nên làm). “Thứ hai, kẻ tấn công đã cố gắng che giấu việc khai thác trong một cửa hậu lén lút.”
“Bất kể, cũng có thể kẻ tấn công không có ý định hoàn toàn xấu, vì kẻ tấn công như vậy có thể lạm dụng lỗ hổng này với tác động lớn hơn nhiều.”
