Forskarar finn feil i CS:GO som kunne la hackarar ta over datamaskina di

Med dei aukande cyberangrepa verda over, skulle ein tru at bedrifter betalte meir merksemd til sin tryggleiksinfrastruktur. Tydelegvis er det ikkje tilfellet med Valve Corporation. Fleire tryggleiksforskarar oppdaga ein feil i Valve sitt Counter-Strike: Global Offensive (CS:GO) spel som kunne la ondsinna einingar ta over ein brukar sin datamaskin. Ein av forskarane som først oppdaga denne feilen rapporterte det i 2019, men Valve ignorerte rapporten til det var eit nyleg offentleg opprør. I denne artikkelen vil vi snakke om situasjonen rundt denne tryggleiksfeilen. 

Kva er Counter-Strike: Global Offensive (CS:GO)?

Counter-Strike er ein serie med fleirspelarskytespel i førsteperson der to lag konkurrerer mot kvarandre. Kvart lag består av fem spelarar og må fullføre spesifikke oppgåver for å vinne. Ei gruppe har rolla som Terroristar (Ts) som ser etter å utføre ein terrorhandling, medan den andre gruppa har rolla som Motterroristar (CTs). Som dei fleste førstepersonsskytespel, belønnar spelet spelarane med ein spelvaluta dei kan bruke på våpen og andre ting. Det er ulike modusar med ulike mål og karakteristikkar. 

Utgjeve først på Windows OS i 2000, har Counter-Strike vokse til å bli eit av dei mest framståande førstepersonsskytespela i historia. Det er tilgjengeleg på macOS, Windows, Linux, PS3, og Xbox360. Counter-Strike-serien har fire hovudspel: Counter-Strike, Condition Zero, Source, og Global Offensive. Sjølv om det har vore spin-offs, er desse fire seriane det dei fleste har spelt over åra. 

Den siste utgjevinga er Global Offensive, som Valve utvikla og gav ut den 21. august 2012. Om lag 11 millionar menneske spelar det på Valve sin Steam-plattform kvar månad. Sidan starten har Counter-Strike vore med i fleire konkurranseturneringar, inkludert Cyberathlete Professional League, World Cyber Games og Electronic Sports World Cup. Valve arrangerer den mest prestisjefylte Counter-Strike-turneringa og kallar den for “Counter-Strike: Global Offensive Major Championships.”

Forskarar finn feil i CS:GO

Ein kvit hatt-hackergruppe kjend som The Secret Club fann ein ny sårbarheit i spelet Counter-Strike: Global Offensive som gir ein hacker høvet til å ta over datasystemet ditt om du klikkar på ei innbyding til å spele spelet på Steam. Ved å bruke Steams invitasjonssystem, kan hackerar utnytte feilen og stjele personlege data frå alle som klikkar på invitasjonslenkja gjennom ein fjernkodeutføring (RCE). Eit medlem av The Secret Club oppdaga feilen i Source, ein 3D-spelmotor som Valve utvikla. Det er fleire spel som brukar Source-motoren, inkludert Counter-Strike: Global Offensive. Likevel har dei fleste spela som brukar Source-motoren ikkje lenger denne feilen. Dessverre vil spelarar av Counter-Strike: Global Offensive bli forferda over å vite at denne feilen framleis eksisterer i spelet. 

Eit medlem av The Secret Club med namnet Florian (@floesen_ på Twitter) rapporterte først feilen til Valve for to år sidan (2019), men Valve-teamet gjorde ingenting for å lappa den. Florian, ein studentforskar, forklarte at han uttrykte bekymringane sine om feilen med fjernkodeutføring til Valve gjennom HackerOne. HackerOne er ein feiljaktplattform som hackarar kan bruke for å nå ut til selskap som Valve dersom dei oppdagar feil eller sårbarheiter. 

Florian avslørte at trass i at han merka feilen som kritisk, gjorde Valve-teamet inga anstrenging for å lappe den og var trege med å svare på trådar om feilen. Det er utenkjeleg at eit selskap med ressursane og innflytelsen som Valve har, ikkje vil ta emnet om eit tryggleiksbrot alvorleg. Det ser ut som det er trenden med Valve, sidan The Secret Club avslørte på Twitter at Valve gjorde det same med to andre sårbarheiter som medlemmar av teamet rapporterte. 

Valve betalar dusør, men nektar å fikse feilen

Det er ikkje lenger nytt at Florian rapporterte RCE-feilen, og Valve fiksa den ikkje. Det som er sjokkerande er at Valve anerkjente Florian sin rapport for omtrent seks månadar sidan og betalte dusøren, men fiksa likevel ikkje sårbarheita. Han sa at sist han høyrde frå Valve var for seks månadar sidan då dei betalte han dusøren gjennom HackerOne. Valve forsikra han til og med om at dei jobba med å fikse sårbarheita sidan dei tidlegare hadde fiksa noko liknande i eit spel som brukte Source-motoren. 

Studentforskaren forklarte at han hadde stadfesta at Valve faktisk hadde fiksa det spelet. Florian avslørte ikkje kva spel Valve fiksa og forklarte kvifor i ei fråsegn. «Vi nemnde det med vilje ikkje fordi vi vil ikkje at folk skal søkje etter patchen i spelet sine binærfiler, sidan dette ville redusere innsatsen for å byggje om utnyttinga for alle dei andre uoppdaterte spela.» Vi forstår derimot ikkje kvifor Valve bestemte seg for å ignorere sårbarheita i CS:GO i omtrent to år. 

På grunn av Valve sin HackerOne-politikk som hindrar feiljegerar frå å rapportere utnyttingar, har Florian ikkje gjeve ut ein detaljert rapport om feilen. Andre feiljegerprogram på HackerOne følgjer vanlegvis ein politikk som gir forskarar løyve til å avsløre sårbarheiter dersom selskapet ikkje fiksar dei etter ein spesifisert periode (vanlegvis rundt 90 eller 180 dagar). Valve, derimot, har ingen slik politikk. 

Andre forskarar stadfestar at Valve ignorerte rapportar om feilen

Andre forskarar har stadfesta at CS:GO-feilen finst, og at Valve har ignorert rapportar om den. Carl Schou, eit toppmedlem av The Secret Club, forklarte at skadelege aktørar kunne bruke CS:GO-feilen til å stjele sensitiv informasjon, inkludert finansiell informasjon og andre legitimasjonar. Minst tre andre forskarar hevdar at Valve ignorerte rapportane deira. Dei har lagt ut ulike videoar som viser korleis feilen med fjernkodeutføring fungerer når ein brukar aksepterer ei invitasjon til ein ondsinna fellesskapsserver.

Brymko (@brymko på Twitter), Carl Smith (@cffsmith på Twitter) og Simon Scannell (scannell_simon) har alle videoar på YouTube som demonstrerer CS:GO RCE-feilen. Etter å ha lagt ut videoen sin som demonstrerer utnyttinga på Twitter, forklarte ein annan forskar korleis han òg rapporterte feilen, men Valve ignorerte rapporten hans i over eit år. Bien Pham (@bienpnn på Twitter), ein programvareingeniør, seier han rapporterte feilen til Valve den 2. april 2020, og selskapet ignorerte den. 

Valve fiksar endeleg feilen

Den 17. april 2021 posta Florian (@floesen_ på Twitter) dette på Twitter: «Gode nyhende! Valve har fiksa den siste utnyttinga mi og gav meg løyve til å avsløre detaljar. Med det sagt, jobbar eg på ein detaljert teknisk gjennomgang som eg skal publisere snart. Hald deg oppdatert!» Sjølv om dette er gode nyhende, viser Valve si forsømming at dei ikkje bryr seg om å beskytte personleg informasjonen til brukarane sine eller integriteten til spela sine.

På Twitter-kontoen sin har The Secret Club rapportert nokre fleire feil som Valve ikkje har fiksa. Dei inkluderer ein feil på ein community-server i Team Fortress 2 og to andre CS:GO RCE-feil. Treng vi ein annan offentleg protest før Valve fiksar desse feila? 

Valve si historie med å ignorere feil

I august 2019 offentleggjorde Vasily Kravets, ein tryggleiksforskar, eit zero-day-utnytting i Valve sin Steam-plattform etter at Valve utestengde han frå sitt HackerOne-feilfinningsprogram. Han oppdaga feilen i Steam-klienten som ein ondsinna entitet kunne utnytte. Feilen var ein privilegium-oppgraderings-sårbarheit som kunne tillate ein dårleg aktør å køyre eit kva som helst program med dei høgast mogelege tilgangsrettane på eit Windows-system med Valve sitt Steam installert. 

Faktisk oppdaga han meir enn ein feil og gjekk berre offentleg etter å ha oppdaga den andre feilen. Etter å ha oppdaga den første feilen, sendte han inn ein rapport på HackerOne som Valve avviste fordi deira HackerOne-team ikkje meinte at feilen var eit tryggleiksproblem. Deretter oppdaga han ein andre feil og prøvde å rapportere den, men Valve banna han frå sin HackerOne feiljakt-plattform. 

Førtifem dagar etter Vasily Kravet sin første oppdaging, publiserte han rapporten offentleg sjølv om HackerOne forbød han frå å gjere det. Likevel, etter hans offentlege protest, fiksa Valve utnyttinga av rettigheitsaukinga. Valve erkjente at dei gjorde ein feil ved å klassifisere Kravet sin første oppdaging som utanfor omfanget. Dei oppdaterte òg retningslinjene sine for rapportering av feil for å hindre at den typen feil skjer igjen. 

Konklusjon

Valve si fortid og notid har vist at dei bryr seg lite om å sikre at Steam-brukarane deira har den beste tryggleiken. Med tanke på deira tidlegare handlingar, kan du ønskje å tenkje deg om to gonger før du går vidare med nokon av produkta eller tenestene deira. Heldigvis har Valve fiksa CS:GO-feilen som kunne la skadelege aktørar ta over datasystemet ditt.