Onderzoekers Ontdekken Bug in CS:GO Die Hackers Toestaat Je Computer Over te Nemen

Met de toenemende cyberaanvallen wereldwijd zou men denken dat bedrijven meer aandacht besteden aan hun beveiligingsinfrastructuur. Blijkbaar is dat niet het geval bij Valve Corporation. Meerdere beveiligingsonderzoekers ontdekten een bug in Valve’s Counter-Strike: Global Offensive (CS:GO) spel die kwaadwillenden de mogelijkheid zou kunnen geven om de computer van een gebruiker over te nemen. Een van de onderzoekers die deze bug als eerste ontdekte, meldde dit in 2019, maar Valve negeerde het rapport tot er recentelijk publieke ophef over ontstond. In dit artikel zullen we het hebben over de situatie rondom deze beveiligingsbug.

Wat is Counter-Strike: Global Offensive (CS:GO)?

Counter-Strike is een multiplayer first-person shooter videospelserie waar twee teams tegen elkaar strijden. Elk team bestaat uit vijf spelers en moet specifieke doelstellingen voltooien om te winnen. De ene groep heeft de rol van Terroristen (Ts) die een terreurdaad willen plegen, terwijl de andere groep de rol van Counter-Terroristen (CTs) heeft. Net als de meeste first-shooter games, beloont het spel spelers met een in-game valuta die ze kunnen uitgeven aan wapens en andere dingen. Er zijn verschillende modi met verschillende doelstellingen en kenmerken.

Oorspronkelijk uitgebracht op Windows OS in 2000, is Counter-Strike uitgegroeid tot een van de meest prominente first-person shooter games in de geschiedenis. Het is beschikbaar op macOS, Windows, Linux, PS3 en Xbox360. De Counter-Strike serie heeft vier hoofdspellen: Counter-Strike, Condition Zero, Source en Global Offensive. Hoewel er spin-offs zijn geweest, zijn deze vier series wat de meeste mensen door de jaren heen hebben gespeeld. 

De meest recente release is Global Offensive, ontwikkeld en uitgebracht door Valve op 21 augustus 2012. Ongeveer 11 miljoen mensen spelen het maandelijks op Valve’s Steam platform. Sinds de introductie heeft Counter-Strike deelgenomen aan verschillende competitieve toernooien, waaronder de Cyberathlete Professional League, World Cyber Games en Electronic Sports World Cup. Valve organiseert het meest prestigieuze Counter-Strike toernooi en noemt het “Counter-Strike: Global Offensive Major Championships.”

Onderzoekers Vinden Bug in CS:GO

Een groep white-hat hackers bekend als The Secret Club heeft een nieuwe kwetsbaarheid ontdekt in het spel Counter-Strike: Global Offensive die een hacker de mogelijkheid geeft om je computersysteem over te nemen als je klikt op een uitnodiging om het spel te spelen op Steam. Door gebruik te maken van Steam’s uitnodigingssysteem, kunnen hackers de bug uitbuiten en persoonlijke gegevens stelen van iedereen die op de uitnodigingslink klikt via een remote code execution (RCE). Een lid van The Secret Club ontdekte de bug in Source, een 3D-spelmotor die door Valve is ontwikkeld. Er zijn verschillende spellen die de Source-motor gebruiken, waaronder Counter-Strike: Global Offensive. Echter, de meeste spellen die de Source-motor gebruiken, hebben de bug niet meer. Helaas zullen spelers van Counter-Strike: Global Offensive geschokt zijn om te weten dat deze bug nog steeds bestaat in het spel.

Een lid van The Secret Club genaamd Florian (@floesen_ op Twitter) meldde de bug oorspronkelijk twee jaar geleden (2019) aan Valve, maar het team van Valve deed niets om het te verhelpen. Florian, een student-onderzoeker, legde uit dat hij zijn zorgen over de fout waardoor code op afstand uitgevoerd kon worden, aan Valve kenbaar maakte via HackerOne. HackerOne is een bug bounty platform dat hackers kunnen gebruiken om bedrijven zoals Valve te benaderen als ze bugs of kwetsbaarheden ontdekken. 

Florian onthulde dat ondanks het markeren van de bug als kritiek, het Valve-team geen moeite deed om het te patchen en traag was in het reageren op threads over de bug. Het is onbegrijpelijk dat een bedrijf met de middelen en invloed die Valve heeft, het onderwerp van een beveiligingslek niet serieus neemt. Het lijkt erop dat dit de trend is bij Valve, aangezien The Secret Club op Twitter onthulde dat Valve hetzelfde deed met twee andere kwetsbaarheden die leden van het team rapporteerden. 

Valve Betaalt Beloning Maar Weigert De Bug Te Repareren

Het is al lang geen nieuws meer dat Florian de RCE-bug heeft gemeld en Valve deze niet heeft opgelost. Wat wel schokkend is, is dat Valve Florian’s rapport ongeveer zes maanden geleden heeft erkend en de beloning heeft betaald, maar de kwetsbaarheid nog steeds niet heeft verholpen. Hij zei dat de laatste keer dat hij iets van Valve hoorde zes maanden geleden was, toen ze hem de beloning betaalden via HackerOne. Valve verzekerde hem zelfs dat het bezig was met het oplossen van de kwetsbaarheid, aangezien het eerder iets soortgelijks had opgelost in een spel dat de Source-engine gebruikt. 

De student-onderzoeker legde uit dat hij bevestigde dat Valve inderdaad dat spel heeft gerepareerd. Florian onthulde niet welk spel Valve repareerde en legde uit waarom in een verklaring. “We hebben dat met opzet niet genoemd omdat we niet willen dat mensen gaan zoeken naar de patch in de spelbestanden, aangezien dit de inspanning om de exploit voor alle andere niet-gepatchte spellen te herbouwen aanzienlijk zou verminderen.” We begrijpen echter niet waarom Valve ervoor koos om de kwetsbaarheid van CS:GO ongeveer twee jaar te negeren. 

Vanwege Valve’s HackerOne-beleid dat bug bounty hunters verhindert exploits te melden, heeft Florian geen gedetailleerd rapport over de bug vrijgegeven. Andere bug bounty-programma’s op HackerOne volgen meestal een beleid dat onderzoekers toestemming geeft om kwetsbaarheden te onthullen als het bedrijf ze niet repareert na een bepaalde periode (meestal rond 90 of 180 dagen). Valve heeft daarentegen geen dergelijk beleid.

Andere Onderzoekers Bevestigen Dat Valve Meldingen Over De Bug Negeerde

Andere onderzoekers hebben bevestigd dat de CS:GO bug bestaat, en dat Valve meldingen erover negeert. Carl Schou, een vooraanstaand lid van The Secret Club, legde uit dat kwaadwillenden de CS:GO bug kunnen gebruiken om gevoelige gegevens te stelen, inclusief financiële informatie en andere inloggegevens. Ten minste drie andere onderzoekers beweren dat Valve hun meldingen heeft genegeerd. Ze hebben verschillende video’s gepost die laten zien hoe de fout voor uitvoering van externe code werkt wanneer een gebruiker een uitnodiging accepteert naar een kwaadaardige community server.

Brymko (@brymko op Twitter), Carl Smith (@cffsmith op Twitter) en Simon Scannell (scannell_simon) hebben allemaal video’s op YouTube die de CS:GO RCE fout demonstreren. Nadat hij zijn videodemonstratie van de exploit op Twitter had geplaatst, legde een andere onderzoeker uit hoe hij de bug ook had gemeld, maar Valve negeerde zijn rapport meer dan een jaar lang. Bien Pham (@bienpnn op Twitter), een software-engineer, zegt dat hij de bug op 2 april 2020 aan Valve meldde, en het bedrijf negeerde het. 

Valve Repareert Eindelijk de Bug

Op 17 april 2021 plaatste Florian (@floesen_ op Twitter) dit op Twitter: “Goed nieuws! Valve heeft mijn recente exploit gerepareerd en mij toestemming gegeven om details te onthullen. Dat gezegd hebbende, werk ik aan een gedetailleerde technische uiteenzetting die ik binnenkort ga uitbrengen. Blijf op de hoogte!” Hoewel dit geweldig nieuws is, toont de nalatigheid van Valve aan dat het niet geeft om de bescherming van de persoonlijke informatie van zijn gebruikers of de integriteit van zijn spellen. 

Op zijn Twitter-account heeft The Secret Club enkele andere bugs gemeld die Valve niet heeft opgelost. Ze omvatten een community server bug in Team Fortress 2 en twee andere CS:GO RCE bugs. Hebben we nog een publieke ophef nodig voordat Valve deze bugs oplost?

Valve’s Geschiedenis van het Negeren van Bugs

In augustus 2019 heeft Vasily Kravets, een beveiligingsonderzoeker, een zero-day exploit in het Steam-platform van Valve openbaar gemaakt nadat Valve hem had verbannen uit zijn HackerOne bug bounty-programma. Hij ontdekte de fout in de Steam-client die door elke kwaadwillende kon worden uitgebuit. De bug was een kwetsbaarheid voor privilege-escalatie die een kwaadwillende in staat kon stellen om elk programma met de hoogst mogelijke toegangsrechten uit te voeren op een Windows-systeem met Valve’s Steam geïnstalleerd. 

In feite ontdekte hij meer dan één bug en ging pas naar buiten nadat hij de tweede bug had ontdekt. Na de ontdekking van de eerste bug diende hij een rapport in op HackerOne dat Valve afwees omdat het HackerOne-team niet dacht dat de bug een beveiligingsprobleem was. Vervolgens ontdekte hij een tweede bug en probeerde deze te melden, maar Valve verbande hem van zijn HackerOne bug bounty platform. 

Vijfenveertig dagen na de initiële ontdekking van Vasily Kravet, publiceerde hij het rapport openbaar, ook al had HackerOne hem verboden dit te doen. Echter, na zijn publieke uitroep, repareerde Valve de privilege-escalatie exploit. Valve erkende dat het een fout had gemaakt door Kravet’s initiële ontdekking als buiten het bereik te classificeren. Het heeft ook zijn richtlijnen voor het melden van bugs bijgewerkt om te voorkomen dat dit soort fouten opnieuw gebeuren. 

Conclusie

Valve’s verleden en heden hebben aangetoond dat het weinig aandacht besteedt aan het garanderen van de beste beveiliging voor zijn Steam-gebruikers. Gezien zijn voorgeschiedenis, wil je misschien twee keer nadenken voordat je meegaat met een van zijn producten of diensten. Gelukkig heeft Valve de CS:GO-bug gerepareerd die kwaadwillenden in staat zou stellen om je computersysteem te kapen.