Bilinmeyen bir tehdit aktörü, Dota 2 çok oyunculu çevrimiçi savaş arenası (MOBA) video oyunu için kötü amaçlı oyun modları oluşturdu ve bu modlar, oyuncuların sistemlerine arka kapıdan erişim sağlamak için kullanılmış olabilir.
Modlar, CVE-2021-38003 (CVSS puanı: 8.8) olarak izlenen V8 JavaScript motorunda sıfır gün olarak istismar edilen ve Ekim 2021’de Google tarafından ele alınan yüksek önem dereceli bir kusurdan yararlandı.
Avast araştırmacısı Jan Vojtěšek geçen hafta yayınlanan bir raporda, “V8, Dota’da korumalı alana alınmadığı için, istismar kendi başına diğer Dota oyuncularına karşı uzaktan kod yürütülmesine izin verdi,” dedi.
Valve’a sorumlu bir şekilde ifşa edilmesinin ardından oyun yayıncısı, V8 sürümünü yükselterek 12 Ocak 2023’te düzeltmeler gönderdi.
Oyun modları, temelde, mevcut bir oyunu genişletebilen veya standart kurallardan sapan bir şekilde tamamen yeni bir oyun sunabilen özel yeteneklerdir.
Steam mağazasına özel bir oyun modu yayınlamak, Valve’den bir inceleme süreci içerirken, antivirüs satıcısı tarafından keşfedilen kötü amaçlı oyun modları, çatlaklardan sızmayı başardı.
O zamandan beri kullanımdan kaldırılan bu oyun modları, “test eklentisi lütfen yoksay”, “Sinir bozucu kahramanlara aşırı yüklenme”, “Custom Hero Brawl” ve “Overthrow RTZ Edition X10 XP”dir. Tehdit aktörünün ayrıca Petah Tiqwa’da herhangi bir hileli kod içermeyen Brawl adlı beşinci bir oyun modu yayınladığı söyleniyor.
“Test eklentisi plz yoksay”ın içine yerleştirilmiş, özel kabuk kodunu yürütmek için silah haline getirilebilen V8 kusurunun istismarıdır.
Diğer üçü ise daha gizli bir yaklaşım benimsiyor, çünkü kötü amaçlı kod uzak bir sunucuya ulaşarak bir JavaScript yükü getirecek şekilde tasarlandı. sunucuya artık ulaşılamıyor.
Varsayımsal bir saldırı senaryosunda, yukarıdaki oyun modlarından birini başlatan bir oyuncu, virüs bulaşmış ana bilgisayara uzaktan erişim elde etmek ve daha fazla istismar için ek kötü amaçlı yazılım dağıtmak üzere tehdit aktörü tarafından hedef alınabilir.
Avast, oyun modlarını yaratmanın ardındaki geliştiricinin nihai hedeflerinin ne olduğu hemen bilinmemekle birlikte, bunların iyi huylu araştırma amaçları olma ihtimalinin düşük olduğunu belirtti.
Vojtěšek, “İlk olarak, saldırgan güvenlik açığını Valve’a bildirmedi (bu genellikle yapılacak iyi bir şey olarak kabul edilir),” dedi. “İkincisi, saldırgan açığı gizli bir arka kapıda saklamaya çalıştı.”
“Her şeye rağmen, saldırganın tamamen kötü niyetli olmaması da mümkündür, çünkü böyle bir saldırgan tartışmalı bir şekilde bu güvenlik açığını çok daha büyük bir etkiyle kötüye kullanabilir.”