Un acteur menaçant inconnu a créé des modes de jeu malveillants pour le jeu vidéo MOBA (multiplayer online battle arena) Dota 2 qui auraient pu être exploités pour établir un accès par porte dérobée aux systèmes des joueurs.
Les modes ont exploité une faille de grande gravité dans le moteur JavaScript V8 suivi comme CVE-2021-38003 (score CVSS : 8,8), qui a été exploité comme un zero-day et traité par Google en octobre 2021.
« Étant donné que V8 n’était pas en bac à sable dans Dota, l’exploit à lui seul permettait l’exécution de code à distance contre d’autres lecteurs Dota », a déclaré Jan Vojtěšek, chercheur chez Avast. a dit dans un rapport publié la semaine dernière.
Suite à une divulgation responsable à Valve, l’éditeur du jeu correctifs expédiés le 12 janvier 2023, en mettant à jour la version de V8.
Les modes de jeu sont essentiellement capacités personnalisées qui peut soit augmenter un titre existant, soit offrir un gameplay complètement nouveau d’une manière qui s’écarte des règles standard.
Alors que la publication d’un mode de jeu personnalisé sur le magasin Steam inclut un processus de vérification de Valve, les modes de jeu malveillants découverts par le fournisseur d’antivirus ont réussi à passer entre les mailles du filet.
Ces modes de jeu, qui ont depuis été supprimés, sont « testez l’addon plz ignore », « Overdog pas de héros ennuyeux », « Custom Hero Brawl » et « Overthrow RTZ Edition X10 XP ». L’acteur de la menace aurait également publié un cinquième mode de jeu nommé Brawl in Petah Tiqwa qui ne contenait aucun code malveillant.
Intégré à l’intérieur de « test addon plz ignore » se trouve un exploit pour la faille V8 qui pourrait être militarisé pour exécuter un shellcode personnalisé.
Les trois autres, en revanche, adoptent une approche plus secrète dans la mesure où le code malveillant est conçu pour atteindre un serveur distant pour récupérer une charge utile JavaScript, ce qui est également susceptible d’être un exploit pour CVE-2021-38003 depuis le le serveur n’est plus joignable.
Dans un scénario d’attaque hypothétique, un joueur lançant l’un des modes de jeu ci-dessus pourrait être ciblé par l’auteur de la menace pour obtenir un accès à distance à l’hôte infecté et déployer des logiciels malveillants supplémentaires pour une exploitation ultérieure.
On ne sait pas immédiatement quels étaient les objectifs finaux du développeur derrière la création des modes de jeu, mais il est peu probable qu’ils soient à des fins de recherche bénignes, a noté Avast.
« Premièrement, l’attaquant n’a pas signalé la vulnérabilité à Valve (ce qui serait généralement considéré comme une bonne chose à faire) », a déclaré Vojtěšek. « Deuxièmement, l’attaquant a essayé de cacher l’exploit dans une porte dérobée furtive. »
« Quoi qu’il en soit, il est également possible que l’attaquant n’ait pas non plus eu d’intentions purement malveillantes, car un tel attaquant pourrait sans doute abuser de cette vulnérabilité avec un impact beaucoup plus important. »
