TechSpot bo kmalu praznoval svojo 25. obletnico. TechSpot pomeni tehnično analizo in nasvet, ki mu lahko zaupate.

V kontekstu: Dota 2, ki je bila izdana leta 2013, je še vedno ena najbolj priljubljenih izkušenj za več igralcev med oboževalci MOBA. In 15 mesecev je bilo na milijone igralcev Dota 2 potencialno ranljivih za napade z izvajanjem kode na daljavo zaradi neprevidnosti podjetja Valve.

Valve je neslavno znan po tem, da si vzame čas za izdelavo nove igre Half-Life (pravzaprav katere koli nove igre) ali štetje do tri. Gigant za digitalno distribucijo, ki ga je soustanovil Gabe Newell, je očitno prav tako ohlapen glede nevarnih varnostnih ranljivosti, s čimer ogroža igralce enega svojih najbolj priljubljenih naslovov in pusti hekerjem, da divjajo s svojimi zlonamernimi eksperimenti.

Brezplačni naslov MOBA Dota 2 je še vedno izjemno priljubljen, čeprav je bil prvotno izdan pred skoraj 10 leti, 9. julija 2013. Tako kot mnoge druge igre tudi Dota 2 vključuje gradnjo motorja V8 JavaScript, ki ga je ustvaril Google za Projekt Chrome/Chromium. Temeljno vprašanje tukaj je, da je Valve do nedavnega še vedno uporabljal zastarelo zgradbo motorja V8, ki je bila sestavljena decembra 2018.

Več kot štiri leta stara različica je bila polna potencialno nevarnih varnostnih hroščev. Še huje je, da Dota 2 ne poganja V8 z nobeno zaščito peskovnika. Slab igralec bi lahko izkoristil težavo za zagon zlonamerne kode na daljavo proti igralcem Dota. Po mnenju Avasta se je to zgodilo, preden je Valve končno posodobil motor V8.

Raziskovalci Avast so odkrili, da je neznani heker preizkušal potencialno izkoriščanje proti CVE-2021-38003, izjemno nevarni varnostni napaki v motorju V8 z oceno resnosti 8,8/10. Sprva je heker izvedel na videz benigni test z objavo novega načina igre po meri – načina, s katerim lahko igralci spremenijo izkušnjo Dota 2 – z vdelano kodo izkoriščanja za CVE-2021-38003.

Po tem je heker objavil tri druge načine igre, pri čemer je uporabil bolj prikrit pristop s sprejetjem preprostega backdoorja s samo „približno dvajsetimi vrsticami kode.” Zadnja vrata bi lahko izvajala poljubne skripte JS, prenesene s strežnika za ukaze in nadzor prek HTTP. Pameten trik je napadalcu omogočil, da je kodo izkoriščanja ohranil skrito in jo enostavno posodobil, ne da bi moral predložiti nov način igre po meri v pregled in morebitno odkritje. Z drugimi besedami, hekerju bi omogočil dinamično izvajanje kode JavaScript (in verjetno izkoriščanje CVE-2021-38003) v ozadju.

Google je oktobra 2021 popravil CVE-2021-38003. Medtem je neznani heker marca 2022 začel eksperimentirati. Razvijalci Dota 2 so se težave odpravili šele januarja 2023, ko jih je Avast obvestil o svojih ugotovitvah. Nadaljnja analiza za iskanje drugih podvigov je bila neuspešna, medtem ko pravi motivi hekerja Dota 2 ostajajo neznani.

Preberi več