صمام
اكتشف الباحثون أربعة أوضاع للعبة يمكن أن تستغل بنجاح ثغرة خطيرة لم يتم إصلاحها في اللعبة الشهيرة. دي أو تي ايه 2 لعبة فيديو لمدة 15 شهرًا بعد توفر الإصلاح.
الثغرة الأمنية ، التي تم تتبعها كـ CVE-2021-38003 ، موجودة في محرك JavaScript مفتوح المصدر من Google والمعروف باسم V8 ، والذي تم دمجه في دي أو تي ايه 2. على الرغم من تصحيح جوجل للثغرة الأمنية في أكتوبر 2021 ، دي أو تي ايه 2 لم يقم المطور Valve بتحديث برنامجه لاستخدام محرك V8 المصحح حتى الشهر الماضي بعد أن نبه الباحثون الشركة بشكل خاص إلى أن الثغرة الخطيرة كانت مستهدفة.
نوايا غير واضحة
قال باحثون من شركة الأمان Avast إن أحد المتسللين استغل هذا التأخير بنشره وضع لعبة مخصص في مارس الماضي استغل الثغرة الأمنية. في نفس الشهر ، نشر نفس المخترق ثلاثة أوضاع لعب إضافية من المحتمل جدًا أن تكون قد استغلت أيضًا الثغرة الأمنية. إلى جانب تصحيح الثغرة الأمنية الشهر الماضي ، أزال Valve أيضًا جميع الأوضاع الأربعة.
الأوضاع المخصصة هي امتدادات أو حتى ألعاب جديدة تمامًا تعمل فوقها دي أو تي ايه 2. إنها تسمح للأشخاص الذين لديهم خبرة برمجة أساسية بتنفيذ أفكارهم للعبة ثم إرسالها إلى Valve. ثم يضع صانع اللعبة الطلبات في عملية تحقق ، وإذا تمت الموافقة عليها ، ينشرها.
يبدو أن وضع اللعبة الأول الذي نشرته Valve هو مشروع إثبات مفهوم لاستغلال الثغرة الأمنية. كان بعنوان “test addon plz ignore” (المعرف 1556548695) وشمل وصفًا حث الناس على عدم تنزيله أو تثبيته. تم تضمين رمز استغلال ل CVE-2021-38003 داخل الوضع. في حين أن بعض الاستغلال مأخوذ من كود إثبات المفهوم المنشور في متتبع أخطاء Chromium ، كتب مطور الوضع الكثير منه من البداية. تضمن الوضع الكثير من التعليمات البرمجية التي تم التعليق عليها وملفًا بعنوان “evil.lua” مما يشير إلى أن الوضع كان بمثابة اختبار.
واصل باحثو Avast البحث عن ثلاثة أوضاع مخصصة أخرى نشرها المطور نفسه إلى Valve. هذه الأوضاع – بعنوان “Overdog no annoying heroes” (id 2776998052) و “Custom Hero Brawl” (id 2780728794) و Overthrow RTZ Edition X10 XP (المعرف 2780559339) – اتخذت نهجًا أكثر تغطية.
أوضح الباحث في Avast Jan Vojtěšek:
الشفرة الخبيثة في أوضاع اللعبة الثلاثة الجديدة هذه أكثر دقة. لا يوجد ملف اسمه الشر. lua ولا أي استغلال JavaScript مرئي مباشرة في شفرة المصدر. بدلاً من ذلك ، هناك مجرد باب خلفي بسيط يتكون من حوالي عشرين سطرًا فقط من التعليمات البرمجية. يمكن لهذا الباب الخلفي تنفيذ JavaScript عشوائي يتم تنزيله عبر HTTP ، مما يمنح المهاجم ليس فقط القدرة على إخفاء رمز الاستغلال ، ولكن أيضًا القدرة على تحديثه وفقًا لتقديره دون الحاجة إلى تحديث وضع اللعبة المخصص بالكامل (والانتقال إلى وضع اللعبة المحفوف بالمخاطر) ). عملية التحقق).
لم يعد الخادم الذي اتصلت به هذه الأوضاع الثلاثة يعمل عندما اكتشف باحثو Avast هذه الأوضاع. ولكن نظرًا لنشرها من قبل المطور نفسه بعد 10 أيام من الوضع الأول ، يقول Avast إن هناك احتمالًا كبيرًا بأن الكود الذي تم تنزيله قد استغل أيضًا CVE-2021-38003.
في رسالة بريد إلكتروني ، وصف فويتشيك تدفق عمليات الباب الخلفي بهذه الطريقة:
يدخل الضحية لعبة ، ويلعب أحد أوضاع اللعبة الخبيثة.
يتم تحميل اللعبة كما هو متوقع ، ولكن في الخلفية ، تتصل JavaScript خبيثة بخادم وضع اللعبة.
يصل رمز خادم وضع اللعبة إلى خادم C & C في الباب الخلفي ، ويقوم بتنزيل جزء من كود JavaScript (يفترض ، استغلال CVE-2021-38003) ، ويعيد الرمز الذي تم تنزيله مرة أخرى إلى الضحية.
الضحية ينفذ ديناميكيًا JavaScript الذي تم تنزيله. إذا كان هذا هو الاستغلال لـ CVE-2021-38003 ، فسيؤدي ذلك إلى تنفيذ كود القشرة على الجهاز المصاب.
لم يرد ممثلو Valve على رسالة بريد إلكتروني تطلب تعليقًا على هذه القصة.
بحث الباحثون عن المزيد دي أو تي ايه 2 أوضاع اللعبة التي استغلت الثغرة الأمنية ، لكن أثرها أصبح باردًا. في النهاية ، هذا يعني أنه ليس من الممكن تحديد ما هي نوايا المطور على وجه الدقة بالنسبة للأنماط ، لكن منشور Avast قال إن هناك سببين للاشتباه في أنها لم تكن مجرد أبحاث حميدة.
كتب فويتشيك: “أولاً ، لم يبلغ المهاجم عن ثغرة أمنية في Valve (والتي تعتبر بشكل عام شيئًا لطيفًا للقيام به)”. ثانيًا ، حاول المهاجم إخفاء الثغرة في باب خلفي متخفي. بغض النظر ، من الممكن أيضًا أن المهاجم لم يكن لديه نوايا خبيثة بحتة أيضًا ، نظرًا لأن مثل هذا المهاجم يمكن أن يسيء استغلال هذه الثغرة الأمنية بتأثير أكبر بكثير.
