da Hardware Upgrade :
Una vulnerabilit nota dal 2021 e presente in Dota 2 rimasta
senza patch fino al mese scorso, dopo che i ricercatori di sicurezza di
Avast hanno avvertito privatamente Valve che la falla era stata presa di
mira. Tracciata con il codice CVE-2021-38003, la vulnerabilit
riguarda il motore JavaScript V8 open source di Google,
incorporato nel popolare videogioco. La vulnerabilit stata corretta da
Google ad ottobre del 2021, ma da allora Valve non ha mai applicato alcuna
correzione al motore V8 utilizzato all’interno di Dota 2.
I ricercatori di sicurezza Avast hanno
scoperto che un hacker, approfittando del ritardo, riuscito a
pubblicare almeno 4 modalit di gioco personalizzate capaci si sfruttare
la vulnerabilit. Le modalit personalizzate di Dota 2 sono estensioni che
possono essere realizzate da chi ha esperienza di programmazione e
sottoposte a Valve. Il produttore verifica quanto inviato e in caso di
approvazione le modalit personalizzate vengono pubblicate e rese
disponibili a chiunque le voglia provare.
La prima modalit di gioco che stata pubblicata ha l’aspetto di un
progetto proof-of-concept che dimostra come sfruttare la
vulnerabilit. Il suo nome era “test addon plz ignore”, corredato inoltre
di una descrizione che spiegava al pubblico di non scaricarlo o
installarlo. All’interno di essa il codice composto per sfruttare la
vulnerabilit CVE-2021-38003 era basato in parte sul codice
proof-of-concept pubblicato nel bug tracker di Chromium, ma una gran parte
stata scritta dallo sviluppatore ex-novo. Il codice, ampiamente
commentato, lasciava pochi dubbi sul fatto che la modalit fosse un
semplice test.
I ricercatori di Avast hanno per individuato altre tre modalit
personalizzate create dallo stesso sviluppatore: “Overdog no fastidios
heroes”, “Custom Hero Brawl” e “Overthrow RTZ Edition X10 XP”. Queste tre
modalit, all’analisi degli sviluppatori, hanno mostrato la presenza di
codice pi discreto e meno appariscente.
Spiegano i ricercatori: “Il codice dannoso in queste tre
modalit molto pi sottile. […] C’ solo una semplice backdoor
composta da una ventina di righe di codice che pu eseguire JavaScript
arbitrario scaricato tramite HTTP, dando all’attaccante non solo la
possibilit di nascondere il codice di exploit, ma anche la possibilit di
aggiornarlo a propria discrezione senza dover aggiornare l’intera modalit
personalizzata e dover affrontare un nuovo processo di verifica”.
Un giocatore che avvia una delle modalit di gioco, avvia anche la
backdoor e un codice JavaScript che contatta il server della modalit di
gioco. A questo punto si raggiunge il server C&C della backdoor e
scarica un frammento di codice che presumibilmente l’effettivo exploit
per la falla CVE-2021-38003. Se questo codice viene eseguito pu
comportare l’esecuzione di shellcode sulla macchina della vittima.
I ricercatori hanno provato a cercare altre modalit di Dota 2 che
sfruttassero la vulnerabilit, ma con scarso successo. Dagli elementi
raccolti non stato possibile determinare con certezza quali siano
stati gli scopi dello sviluppatore delle quattro modalit, anche se
i ricercatori sostengono che vi sono alcune ragioni per supporre che le
intenzioni non fossero solamente per ricerca: lo sviluppatore non ha
infatti segnalato nulla a Valve, nemmeno la vulnerabilit, e ha inoltre
cercato di occultare il codice perch passasse inosservato.
La vulnerabilit stata corretta lo scorso mese, e Valve ha anche
contestualmente provveduto a rimuovere le quattro modalit personalizzate
individuate dai ricercatori Avast.