Forskere Finder Fejl i CS:GO, Der Kan Tillade Hackere at Overtage Din Computer

Med de stigende cyberangreb over hele verden skulle man tro, at virksomheder lægger mere vægt på deres sikkerhedsinfrastruktur. Tilsyneladende er det ikke tilfældet med Valve Corporation. Flere sikkerhedsforskere opdagede en fejl i Valves Counter-Strike: Global Offensive (CS:GO) spil, som kunne tillade ondsindede enheder at overtage en brugers computer. En af forskerne, der først opdagede denne fejl, rapporterede den i 2019, men Valve ignorerede rapporten indtil et nyligt offentligt opråb. I denne artikel vil vi tale om situationen omkring denne sikkerhedsfejl.

Hvad er Counter-Strike: Global Offensive (CS:GO)?

Counter-Strike er en multiplayer first-person shooter videospilserie, hvor to hold konkurrerer mod hinanden. Hvert hold består af fem spillere og skal fuldføre specifikke mål for at vinde. Den ene gruppe har rollen som Terrorister (Ts), der søger at begå en terrorhandling, mens den anden gruppe har rollen som Anti-Terrorister (CTs). Som de fleste first-shooter spil, belønner spillet spillere med en in-game valuta, de kan bruge på våben og andre ting. Der er forskellige modes med forskellige mål og karakteristika.

Udgivet første gang på Windows OS i 2000, er Counter-Strike vokset til at blive et af de mest fremtrædende førstepersonsskydespil i historien. Det er tilgængeligt på macOS, Windows, Linux, PS3 og Xbox360. Counter-Strike-serien har fire hovedspil: Counter-Strike, Condition Zero, Source og Global Offensive. Selvom der har været spin-offs, er disse fire serier, hvad de fleste mennesker har spillet igennem årene. 

Den seneste udgivelse er Global Offensive, som Valve udviklede og udgav den 21. august 2012. Omkring 11 millioner mennesker spiller det på Valves Steam platform månedligt. Siden sin begyndelse har Counter-Strike deltaget i flere konkurrenceturneringer, herunder Cyberathlete Professional League, World Cyber Games og Electronic Sports World Cup. Valve er vært for den mest prestigefyldte Counter-Strike-turnering og kalder den “Counter-Strike: Global Offensive Major Championships.”

Forskere Finder Fejl i CS:GO

En hvidhat-hackergruppe kendt som The Secret Club har fundet en ny sårbarhed i spillet Counter-Strike: Global Offensive, som giver en hacker mulighed for at overtage dit computersystem, hvis du klikker på en invitation til at spille spillet på Steam. Ved at bruge Steams invitationssystem kan hackere udnytte fejlen og stjæle personlige data fra enhver, der klikker på invitationslinket gennem en fjernkodeeksekvering (RCE). Et medlem af The Secret Club opdagede fejlen i Source, en 3D-spilmotor, som Valve har udviklet. Der er flere spil, der bruger Source-motoren, herunder Counter-Strike: Global Offensive. Desværre har de fleste spil, der bruger Source-motoren, ikke længere fejlen. Desværre vil spillere af Counter-Strike: Global Offensive blive forfærdede over at vide, at denne fejl stadig eksisterer i spillet.

Et medlem af The Secret Club ved navn Florian (@floesen_ på Twitter) rapporterede oprindeligt fejlen til Valve for to år siden (2019), men Valve-teamet gjorde intet for at udbedre den. Florian, en studerende forsker, forklarede, at han gav udtryk for sine bekymringer om fejlen med fjernkørsel af kode til Valve gennem HackerOne. HackerOne er en bug bounty platform, som hackere kan bruge til at kontakte virksomheder som Valve, hvis de opdager fejl eller sårbarheder. 

Florian afslørede, at på trods af at fejlen blev markeret som kritisk, gjorde Valve-teamet ingen indsats for at lappe den og var langsomme til at reagere på tråde om fejlen. Det er utænkeligt, at et firma med de ressourcer og indflydelse som Valve har, ikke vil tage emnet om et sikkerhedsbrud alvorligt. Det ser ud til, at det er tendensen med Valve, da The Secret Club afslørede på Twitter, at Valve gjorde det samme med to andre sårbarheder, som medlemmer af teamet rapporterede. 

Valve betaler dusør men nægter at rette fejlen

Det er ikke længere nyheder, at Florian rapporterede RCE-fejlen, og Valve ikke rettede den. Det chokerende er, at Valve anerkendte Florians rapport for omkring seks måneder siden og betalte dusøren, men stadig ikke rettede sårbarheden. Han sagde, at sidste gang han hørte fra Valve var for seks måneder siden, da de betalte ham dusøren gennem HackerOne. Valve forsikrede ham endda om, at de arbejdede på at rette sårbarheden, da de tidligere har rettet noget lignende i et spil, der bruger Source-motoren. 

Den studerende forsker forklarede, at han bekræftede, at Valve faktisk havde rettet det spil. Florian afslørede ikke, hvilket spil Valve rettede, og forklarede hvorfor i en udtalelse. “Vi nævnte det med vilje ikke, fordi vi ikke ønsker, at folk skal søge efter patchen i spillets binære filer, da dette ville reducere indsatsen for at genopbygge udnyttelsen for alle de andre upatchede spil betydeligt.” Vi forstår dog ikke, hvorfor Valve besluttede at ignorere CS:GO’s sårbarhed i cirka to år. 

På grund af Valves HackerOne-politik, der forhindrer bug bounty-jægere i at rapportere exploits, har Florian ikke offentliggjort en detaljeret rapport om fejlen. Andre bug bounty-programmer på HackerOne følger normalt en politik, der giver forskere tilladelse til at afsløre sårbarheder, hvis virksomheden ikke retter dem efter en bestemt periode (normalt omkring 90 eller 180 dage). Valve har derimod ingen sådan politik.

Andre Forskere Bekræfter, at Valve Ignorerede Rapporter Om Fejlen

Andre forskere har bekræftet, at CS:GO-fejlen eksisterer, og at Valve har ignoreret rapporter om den. Carl Schou, et førende medlem af The Secret Club, forklarede, at skadelige aktører kunne bruge CS:GO-fejlen til at stjæle følsomme data, herunder finansielle oplysninger og andre legitimationsoplysninger. Mindst tre andre forskere hævder, at Valve har ignoreret deres rapporter. De har lagt forskellige videoer op, der viser, hvordan fejlen med fjernkodeeksekvering fungerer, når en bruger accepterer en invitation til en ondsindet fællesskabsserver.

Brymko (@brymko på Twitter), Carl Smith (@cffsmith på Twitter) og Simon Scannell (scannell_simon) har alle videoer på YouTube, der demonstrerer CS:GO RCE-fejlen. Efter at have postet sin videodemonstration af udnyttelsen på Twitter, forklarede en anden forsker, hvordan han også rapporterede fejlen, men Valve ignorerede hans rapport i over et år. Bien Pham (@bienpnn på Twitter), en softwareingeniør, siger, at han rapporterede fejlen til Valve den 2. april 2020, og firmaet ignorerede den. 

Valve retter endelig fejlen

Den 17. april 2021 postede Florian (@floesen_ på Twitter) dette på Twitter: “Gode nyheder! Valve har rettet min seneste exploit og har givet mig tilladelse til at offentliggøre detaljer. Det sagt, så arbejder jeg på en detaljeret teknisk gennemgang, som jeg snart vil udgive. Bliv hængende!” Selvom dette er gode nyheder, viser Valves forsømmelse, at de ikke bekymrer sig om at beskytte deres brugeres personlige oplysninger eller integriteten af deres spil.

På sin Twitter-konto har The Secret Club rapporteret nogle andre fejl, som Valve ikke har rettet. De inkluderer en fejl på en community server i Team Fortress 2 og to andre CS:GO RCE-fejl. Skal vi bruge endnu et offentligt opråb, før Valve retter disse fejl? 

Valves historie med at ignorere fejl

I august 2019 offentliggjorde Vasily Kravets, en sikkerhedsforsker, et zero-day exploit på Valves Steam-platform, efter at Valve havde udelukket ham fra sit HackerOne bug bounty-program. Han opdagede fejlen i Steam-klienten, som enhver ondsindet enhed kunne udnytte. Fejlen var en rettighedsforøgelsessårbarhed, der kunne tillade en ondsindet aktør at køre et hvilket som helst program med de højest mulige adgangsrettigheder på et Windows-system med Valves Steam installeret. 

Faktisk opdagede han mere end én fejl og gik kun offentligt ud efter at have opdaget den anden fejl. Efter at have opdaget den første fejl indsendte han en rapport på HackerOne, som Valve afviste, fordi deres HackerOne-team ikke mente, at fejlen var et sikkerhedsproblem. Derefter opdagede han en anden fejl og forsøgte at rapportere den, men Valve udelukkede ham fra deres HackerOne bug bounty platform. 

Femogfyrre dage efter Vasily Kravets første opdagelse, offentliggjorde han rapporten, selvom HackerOne havde forbudt ham at gøre det. Men efter hans offentlige protest, rettede Valve fejlen med rettighedsforøgelsen. Valve erkendte, at de havde begået en fejl ved at klassificere Kravets første opdagelse som uden for omfang. De opdaterede også deres retningslinjer for rapportering af fejl for at forhindre, at den type fejl sker igen. 

Konklusion

Valves fortid og nutid har vist, at de lægger lidt vægt på at sikre, at deres Steam-brugere har den bedste sikkerhed. I betragtning af deres forhistorie, kan du måske tænke dig om en ekstra gang, før du bruger nogen af deres produkter eller tjenester. Heldigvis har Valve rettet CS:GO-fejlen, der kunne tillade skadelige aktører at overtage dit computersystem.