Forscher entdecken Schwachstelle in CS:GO, die Hackern eine Übernahme Ihres Computers ermöglichen könnte
Angesichts der weltweit zunehmenden Cyberangriffe könnte man annehmen, dass Unternehmen ihrer Sicherheitsinfrastruktur mehr Aufmerksamkeit schenken. Scheinbar trifft das nicht auf die Valve Corporation zu. Mehrere Sicherheitsforscher entdeckten einen Bug in Valves Spiel Counter-Strike: Global Offensive (CS:GO), der es bösartigen Akteuren ermöglichen könnte, die Kontrolle über den Computer eines Benutzers zu übernehmen. Einer der Forscher, der diesen Bug zuerst entdeckte, meldete ihn bereits im Jahr 2019, aber Valve ignorierte den Bericht bis zu einem kürzlichen öffentlichen Aufschrei. In diesem Artikel werden wir über die Situation rund um diesen Sicherheitsbug sprechen.
Was ist Counter-Strike: Global Offensive (CS:GO)?
Counter-Strike ist eine Serie von Multiplayer-Ego-Shooter-Videospielen, in denen zwei Teams gegeneinander antreten. Jede Einheit besteht aus fünf Spielern und muss bestimmte Ziele erfüllen, um zu gewinnen. Eine Gruppe spielt die Rolle von Terroristen (Ts), die einen Terrorakt begehen wollen, während die andere Gruppe die Rolle von Antiterror-Einheiten (CTs) übernimmt. Wie die meisten Ego-Shooter-Spiele belohnt das Spiel die Spieler mit einer In-Game-Währung, die sie für Waffen und anderes ausgeben können. Es gibt verschiedene Modi mit unterschiedlichen Zielen und Eigenschaften.
Seit seiner ersten Veröffentlichung auf Windows OS im Jahr 2000 hat sich Counter-Strike zu einem der prominentesten Ego-Shooter-Spiele der Geschichte entwickelt. Es ist auf macOS, Windows, Linux, PS3 und Xbox360 verfügbar. Die Counter-Strike-Serie umfasst vier Hauptspiele: Counter-Strike, Condition Zero, Source und Global Offensive. Obwohl es Ableger gibt, sind diese vier Serien diejenigen, die die meisten Menschen im Laufe der Jahre gespielt haben.
Die neueste Veröffentlichung ist Global Offensive, das Valve entwickelt hat und am 21. August 2012 veröffentlicht hat. Etwa 11 Millionen Menschen spielen es monatlich auf Valves Steam-Plattform. Seit seiner Gründung hat Counter-Strike an mehreren professionellen Turnieren teilgenommen, darunter die Cyberathlete Professional League, die World Cyber Games und den Electronic Sports World Cup. Valve veranstaltet das prestigeträchtigste Counter-Strike-Turnier, das als „Counter-Strike: Global Offensive Major Championships“ bezeichnet wird.
Forscher finden Bug in CS:GO
Die als The Secret Club bekannte Gruppe von ethischen Hackern hat eine neue Sicherheitslücke im Spiel Counter-Strike: Global Offensive entdeckt, die Hackern ermöglicht, Ihr Computersystem zu übernehmen, wenn Sie auf eine Einladung klicken, das Spiel auf Steam zu spielen. Mit dem Einladungssystem von Steam können Hacker den Fehler ausnutzen und persönliche Daten stehlen, indem sie über eine Remote-Code-Ausführung (RCE) auf die Einladungslinks klicken. Ein Mitglied von The Secret Club entdeckte den Fehler in Source, einer von Valve entwickelten 3D-Spiele-Engine. Es gibt mehrere Spiele, die die Source-Engine nutzen, darunter Counter-Strike: Global Offensive. Allerdings haben die meisten Spiele, die die Source-Engine nutzen, diesen Fehler nicht mehr. Leider müssen die Spieler von Counter-Strike: Global Offensive in Angst leben, dass dieser Fehler im Spiel immer noch existiert.
Ein Mitglied von The Secret Club namens Florian (@floesen_ auf Twitter) hat den Fehler bereits vor zwei Jahren (2019) Valve gemeldet, aber das Valve-Team hat nichts unternommen, um ihn zu beheben. Florian, ein Forschungsstudent, erklärte, dass er seine Bedenken hinsichtlich des Fehlers der Remote-Code-Ausführung an Valve über HackerOne äußerte. HackerOne ist eine Plattform für die Meldung von Softwarefehlern, die Hacker nutzen können, um Unternehmen wie Valve auf entdeckte Fehler oder Sicherheitslücken aufmerksam zu machen.
Florian gab an, dass das Valve-Team trotz der Kennzeichnung des Fehlers als kritisch keinen Ansturm unternahm, um ihn zu beheben und langsam auf Diskussionen über den Fehler reagierte. Es ist unverständlich, dass eine Firma mit den Ressourcen und dem Einfluss von Valve das Thema einer Sicherheitsverletzung nicht ernst nimmt. Dies scheint der Trend bei Valve zu sein, wie The Secret Club auf Twitter offenbarte, dass Valve dasselbe mit zwei anderen gemeldeten Sicherheitslücken tat.
Valve zahlt Prämien, weigert sich aber, den Fehler zu beheben
Es ist kein Geheimnis mehr, dass Florian den RCE-Fehler gemeldet hat und Valve ihn nicht behoben hat. Schockierend ist, dass Valve vor etwa sechs Monaten Florians Bericht anerkannte, die Prämie zahlte, aber die Sicherheitslücke dennoch nicht behob. Er sagte, dass er das letzte Mal vor sechs Monaten von Valve hörte, als sie ihm die Prämie über HackerOne auszahlten. Valve sicherte ihm sogar zu, an der Behebung der Sicherheitslücke zu arbeiten, da es zuvor etwas Ähnliches in einem Spiel mit der Source-Engine behoben hatte.
Der Studentenforscher erklärte, er habe bestätigt, dass Valve dieses Spiel tatsächlich behoben hat. Florian hat nicht offengelegt, welches Spiel Valve behoben hat und erklärte in einer Stellungnahme warum: „Wir haben das absichtlich nicht erwähnt, weil wir nicht wollen, dass Menschen nach dem Patch in den Spiel-Binärdateien suchen, da dies den Aufwand, den Exploit für alle anderen nicht gepatchten Spiele nachzubauen, erheblich verringern würde.“ Wir verstehen jedoch nicht, warum Valve beschlossen hat, die Sicherheitslücke in CS:GO für etwa zwei Jahre zu ignorieren.
Aufgrund der HackerOne-Richtlinie von Valve, die Bug-Bounty-Jäger daran hindert, Exploits zu melden, hat Florian keinen detaillierten Bericht über den Fehler veröffentlicht. Andere Bug-Bounty-Programme auf HackerOne folgen in der Regel einer Richtlinie, die Forschern nach Ablauf einer bestimmten Frist (normalerweise etwa 90 oder 180 Tage) erlaubt, Sicherheitslücken offenzulegen, wenn das Unternehmen diese nicht behebt. Valve hat jedoch keine solche Richtlinie.
Andere Forscher bestätigen, dass Valve Berichte über den Fehler ignoriert hat
Andere Forscher haben bestätigt, dass der CS:GO-Fehler existiert und dass Valve Berichte darüber ignoriert hat. Carl Schou, ein führendes Mitglied von The Secret Club, erklärte, dass Böswillige den CS:GO-Fehler nutzen könnten, um sensible Daten zu stehlen, einschließlich Finanzinformationen und anderen Zugangsdaten. Mindestens drei andere Forscher behaupten, dass Valve ihre Berichte ignoriert hat. Sie haben verschiedene Videos veröffentlicht, in denen gezeigt wird, wie der Fehler bei der Fernausführung von Code funktioniert, wenn ein Benutzer eine Einladung zu einem bösartigen Community-Server annimmt.
Brymko (@brymko auf Twitter), Carl Smith (@cffsmith auf Twitter) und Simon Scannell (scannell_simon) haben alle Videos auf YouTube, die den CS:GO RCE-Fehler demonstrieren. Nachdem er seine Video-Demonstration des Exploits auf Twitter veröffentlicht hatte, erklärte ein weiterer Forscher, wie er den Fehler ebenfalls gemeldet hatte, aber Valve seinen Bericht über ein Jahr lang ignoriert habe. Bien Pham (@bienpnn auf Twitter), ein Software-Ingenieur, sagt, er habe den Fehler am 2. April 2020 an Valve gemeldet, und das Unternehmen habe ihn ignoriert.
Valve behebt endlich den Fehler
Am 17. April 2021 postete Florian (@floesen_ auf Twitter) dies auf Twitter: “Gute Neuigkeiten! Valve hat meinen jüngsten Exploit behoben und mir die Erlaubnis gegeben, Details zu veröffentlichen. Deshalb arbeite ich an einem detaillierten technischen Bericht, den ich in Kürze veröffentlichen werde. Bleibt dran!” Während das großartige Neuigkeiten sind, zeigt die Nachlässigkeit von Valve, dass es sich nicht um den Schutz der persönlichen Informationen seiner Nutzer oder um die Integrität seiner Spiele kümmert.
Auf seinem Twitter-Account hat The Secret Club mehrere weitere Fehler gemeldet, die Valve nicht behoben hat. Dazu gehören ein Problem mit einem Community-Server in Team Fortress 2 und zwei weitere CS:GO RCE-Fehler. Benötigen wir einen weiteren öffentlichen Aufschrei, bevor Valve diese Fehler behebt?
Valves Geschichte der Fehlerignorierung
Im August 2019 veröffentlichte Vasily Kravets, ein Sicherheitsforscher, öffentlich einen Zero-Day-Exploit in Valves Steam-Plattform, nachdem Valve ihn von seinem HackerOne Bug-Bounty-Programm ausgeschlossen hatte. Er entdeckte einen Fehler im Steam-Client, den jede schädliche Entität ausnutzen konnte. Der Bug war eine Privilegien-Erweiterungs-Anfälligkeit, welche einem Angreifer ermöglichen konnte, jedes Programm mit den höchstmöglichen Zugriffsrechten auf einem Windows-System mit installiertem Steam von Valve auszuführen.
Tatsächlich entdeckte er mehr als einen Fehler und ging erst an die Öffentlichkeit, nachdem er den zweiten Fehler entdeckt hatte. Nach der Entdeckung des ersten Fehlers reichte er einen Bericht bei HackerOne ein, den Valve jedoch ablehnte, da das HackerOne-Team den Fehler nicht als Sicherheitsproblem ansah. Dann entdeckte er einen zweiten Fehler und versuchte, ihn zu melden, doch Valve sperrte ihn von seiner HackerOne Bug-Bounty-Plattform aus.
Fünfundvierzig Tage nach Vasily Kravets‘ ursprünglicher Entdeckung veröffentlichte er den Bericht trotz des von HackerOne verhängten Verbots. Nach seinem öffentlichen Aufschrei jedoch, behob Valve den Privilegien-Erweiterungs-Exploit. Valve räumte ein, dass es einen Fehler gemacht hatte, indem es Kravets‘ erste Entdeckung als irrelevant eingestuft hatte. Es aktualisierte auch seine Richtlinien zur Fehlerberichterstattung, um solche Fehler in Zukunft zu vermeiden.
Schlussfolgerung
Die Vergangenheit und Gegenwart von Valve hat gezeigt, dass dem Unternehmen die Sicherheit seiner Steam-Nutzer mit Blick auf beste Sicherheitsmaßnahmen geringfügig wichtig ist. Angesichts dessen sollten Sie möglicherweise darüber nachdenken, ob Sie eines seiner Produkte oder Dienstleistungen nutzen wollen. Glücklicherweise hat Valve den CS:GO Fehler behoben, der es böswilligen Akteuren ermöglicht hätte, Ihr Computersystem zu übernehmen.