image

Dota 2-spelers aangevallen via kwetsbaarheid in V8 JavaScript-engine

woensdag 8 februari 2023, 15:11 door Redactie, 4 reacties

Spelers van het populaire spel Dota 2 waren maandenlang het doelwit van een aanval die misbruik maakte van een bekende kwetsbaarheid in de V8 JavaScript-engine. Dota 2 is een multiplayer online battle arena (MOBA) videogame van gameontwikkelaar Valve. Afgelopen november had het nog een miljoen gelijktijdige spelers. Het spel maakt gebruik van V8, een engine voor het uitvoeren van JavaScript.

De JavaScript-engine wordt nog door veel meer projecten gebruikt, waaronder Google Chrome. Google kwam op 28 oktober 2021 met een beveiligingsupdate voor een actief aangevallen zerodaylek in V8, aangeduid als CVE-2021-38003. De kwetsbaarheid werd gebruikt bij zeroday-aanvallen tegen Samsung-telefoons. Waar Google een update voor V8 uitrolde, werd dit niet gedaan door Valve. De V8-versie waarvan Dota 2 gebruikmaakte dateerde van december 2018.

Het spel biedt de mogelijkheid om "custom game modes" te ontwikkelen. Spelers die hiervan gebruik willen maken moeten deze game modes dan wel downloaden via het Steam-platform. Een aanvaller heeft vier custom game modes voorzien van een exploit die misbruik maakt van de kwetsbaarheid in de V8-implementatie van Dota 2. Hoewel Steam de game modes die door de community zijn ontwikkeld controleert werd de exploit niet ontdekt.

Zodra spelers de malafide game modes installeerden kon de aanvaller willekeurige code op hun systeem uitvoeren. Antivirusbedrijf Avast ontdekte de aanval. Vermoedelijk zijn de vier game modes in maart 2022 van de exploit voorzien. Na te zijn ingelicht door de virusbestrijder kwam Valve op 12 januari van dit jaar met een upgrade voor de kwetsbare V8-versie in Dota 2. Daarnaast werden de malafide game modes van het Steam-platform verwijderd, spelers gewaarschuwd en werden er nieuwe maatregelen aangekondigd om het aanvalsoppervlak van het spel te verkleinen.

Reacties (4)
08-02-2023, 15:23 door Anoniem
Dus Valve, waren de kosten voor het nu snel moeten fixen nou goedkoper dan de fix in 2021 regulier door te voeren? Dit lijkt mij dus een perfect voorbeeld van denken goedkoper uit te zijn door NIET te patchen... Prutsers..

TheYOSH
08-02-2023, 15:24 door Anoniem
Dit nieuws doet mij weer terugverlangen naar de tijd dat games off-line waren. En computers ook. Nu kan een multiplayer game als Dota 2 natuurlijk niet off-line, maar het waren wel goede tijden dat je cd-rom de installatie media was en het spel ook meteen werkte zonder patches. Hoewel de officiële patches natuurlijk wel gewenst waren voor gamers omdat ze bugs oplosten en features toevoegden.
08-02-2023, 16:29 door Anoniem
Ik vraag mij af hoeveel keer de gamemodes geinstalleerd en uitgevoerd zijn geweest.
In het artikel van Avast kan je alvast zien dat er tenminste 80 subscribers voor 1 mode waren.
Ik hoop dat Valve deze heeft ingelicht.
09-02-2023, 08:21 door Anoniem
jammer dat die exploit erin zat, door de scripts was het spel nauwelijks speelbaar. Er waren zoveel scripted bots dat je continu vermoord werd, zelfs in je spawnpoint.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.