Hochgradige Sicherheitslücke in Dota 2 im Spielmodus ausgenutzt
In einem Spielmodus von Dota 2 wurde eine hochgradig gefährliche Sicherheitslücke ausgenutzt, die es Angreifern ermöglichte, Code aus der Ferne auf dem Zielsystem auszuführen. Die Schwachstelle wurde im September 2022 entdeckt, blieb aber bis Januar 2023 ungepatcht, so dass Dota 2-Spieler anfällig für Angriffe waren.
Der Fehler wurde im benutzerdefinierten Spielmodus des Spiels entdeckt, mit dem Spieler ihre eigenen Dota 2-Spiele erstellen können. Ein Fehler im Code des benutzerdefinierten Spielmodus erlaubt es einem Angreifer, beliebigen Code auf dem Zielsystem auszuführen, was zu der Sicherheitslücke führt.
Die Sicherheitslücke CVE-2021-38003 wurde in der Open-Source-JavaScript-Engine V8 von Google entdeckt, die in Dota 2 enthalten ist. Obwohl Google die Schwachstelle im Oktober 2021 gepatcht hat, hat der Dota 2-Entwickler Valve seine Software erst im letzten Monat aktualisiert, um die gepatchte V8-Engine zu verwenden, nachdem Forscher das Unternehmen privat auf die kritische Schwachstelle aufmerksam gemacht hatten.
Avast-Forscher entdeckten das Problem und meldeten es an Valve, den Entwickler des Spiels. Valve aktualisierte den Code des Spiels sofort auf eine neue (gepatchte) Version von V8, und die betrügerischen Spielmods wurden aus dem Steam-Onlineshop entfernt. Laut Avast hat das Spieleunternehmen auch die wenigen Nutzer, die die Backdoor heruntergeladen haben, über das Problem informiert und nicht näher bezeichnete "andere Maßnahmen" ergriffen, um die Angriffsfläche von Dota 2 zu verringern.
"Overthrow II" war der Spielmodus, der die Sicherheitslücke ausnutzte. Der Spielmodus war auf dem Steam Workshop verfügbar, einer Plattform, auf der Spieler benutzerdefinierte Spielmodi mit anderen teilen können. Der Spielmodus wurde von über 2.500 Spielern heruntergeladen und blieb im Steam Workshop bis Januar 2023 verfügbar, als er von Valve entfernt wurde.
Die Person, die den Code in den Steam-Store von Valve hochgeladen hat, hat sich die Tatsache zunutze gemacht, dass Dota 2 den Spielern erlaubt, das Spiel auf vielfältige Weise anzupassen. Laut Avast ermöglicht es die Spiel-Engine von Dota jedem, der auch nur über grundlegende Programmierkenntnisse verfügt, benutzerdefinierte Elemente wie Kleidungsstücke, Ladebildschirme, Chat-Emojis und sogar ganze benutzerdefinierte Spielmodi oder neue Spiele zu erstellen. Diese benutzerdefinierten Gegenstände können dann in den Steam-Store hochgeladen werden, der sie auf unangemessene Inhalte überprüft, bevor sie anderen Spielern zum Herunterladen und Verwenden zur Verfügung gestellt werden.
Valve, das Unternehmen hinter Dota 2, hat die Sicherheitslücke im Januar 2023 mit einem Sicherheitsupdate geschlossen. Um sich vor möglichen Angriffen zu schützen, riet das Unternehmen den Dota 2-Spielern, ihr Spiel so schnell wie möglich auf die neueste Version zu aktualisieren.
Der Vorfall erinnert daran, dass selbst bekannte Spiele für Sicherheitslücken anfällig sind, und unterstreicht die Bedeutung rechtzeitiger Patches und Updates. Die Spieler sollten ihre Spiele stets aktualisieren und es vermeiden, benutzerdefinierte Spielmodi aus nicht vertrauenswürdigen Quellen herunterzuladen.
Zu den Quellen für diesen Beitrag gehört ein Artikel in ArsTechnica.