Badacze odkrywają błąd w CS:GO, który mógłby pozwolić hakerom przejąć kontrolę nad twoim komputerem
W obliczu rosnącej liczby cyberataków na całym świecie można by pomyśleć, że firmy przykładają większą wagę do swojej infrastruktury bezpieczeństwa. Okazuje się jednak, że nie dotyczy to Valve Corporation. Wielu badaczy bezpieczeństwa odkryło błąd w grze Valve, Counter-Strike: Global Offensive (CS:GO), który mógłby pozwolić złośliwym podmiotom na przejęcie kontroli nad komputerem użytkownika. Jeden z badaczy, który jako pierwszy odkrył ten błąd, zgłosił go w 2019 roku, ale Valve zignorowało raport aż do niedawnego publicznego oburzenia. W tym artykule będziemy rozmawiać o sytuacji związanej z tym błędem bezpieczeństwa.
## Co to jest Counter-Strike: Global Offensive (CS:GO)?
Counter-Strike to seria gier wideo typu multiplayer first-person shooter, w której dwie drużyny rywalizują ze sobą. Każda jednostka składa się z pięciu graczy i musi wykonać określone cele, aby wygrać. Jedna grupa pełni rolę Terrorystów (Ts), którzy mają na celu dokonanie aktu terroru, podczas gdy druga grupa pełni rolę Antyterrorystów (CTs). Jak w większości gier typu first-shooter, gra nagradza graczy wirtualną walutą, którą mogą wydawać na broń i inne rzeczy. Istnieją różne tryby z różnymi celami i charakterystykami.
Pierwotnie wydany na system Windows OS w 2000 roku, Counter-Strike stał się jedną z najbardziej znaczących gier pierwszoosobowych strzelanek w historii. Jest dostępny na macOS, Windows, Linux, PS3 i Xbox360. Seria Counter-Strike składa się z czterech głównych gier: Counter-Strike, Condition Zero, Source i Global Offensive. Chociaż pojawiły się gry poboczne, te cztery serie to te, w które większość ludzi grała przez lata.
Najnowszą wersją jest Global Offensive, którą Valve opracowało i wydało 21 sierpnia 2012 roku. Około 11 milionów osób gra w nią miesięcznie na platformie Valve – Steam. Od momentu powstania, Counter-Strike dołączył do wielu turniejów e-sportowych, w tym Cyberathlete Professional League, World Cyber Games i Electronic Sports World Cup. Valve organizuje najbardziej prestiżowy turniej Counter-Strike i nazywa go „Counter-Strike: Global Offensive Major Championships”.
## Badacze Odkrywają Błąd w CS:GO
Grupa hakerów white-hat znana jako The Secret Club odkryła nową lukę w grze Counter-Strike: Global Offensive, która daje hakerowi możliwość przejęcia kontroli nad twoim systemem komputerowym, jeśli klikniesz na zaproszenie do gry na Steam. Wykorzystując system zaproszeń Steam, hakerzy mogą wykorzystać błąd i ukraść dane osobowe od każdego, kto kliknie na link zaproszenia poprzez zdalne wykonanie kodu (RCE). Członek The Secret Club odkrył błąd w Source, silniku gier 3D, który został opracowany przez Valve. Kilka gier korzysta z silnika Source, w tym Counter-Strike: Global Offensive. Jednak większość gier korzystających z silnika Source nie posiada już tego błędu. Niestety, gracze Counter-Strike: Global Offensive będą przerażeni, dowiadując się, że ten błąd nadal istnieje w grze.
Członek The Secret Club o imieniu Florian (@floesen_ na Twitterze) zgłosił błąd firmie Valve dwa lata temu (2019), ale zespół Valve nic nie zrobił, aby go naprawić. Florian, student-badacz, wyjaśnił, że wyraził swoje obawy dotyczące błędu umożliwiającego zdalne wykonanie kodu do Valve za pośrednictwem HackerOne. HackerOne to platforma z nagrodami za znalezienie błędów, której hakerzy mogą używać, aby skontaktować się z firmami takimi jak Valve, jeśli odkryją błędy lub luki w zabezpieczeniach.
Florian ujawnił, że pomimo oznaczenia błędu jako krytycznego, zespół Valve nie podjął żadnych działań, aby go naprawić i był powolny w reagowaniu na wątki dotyczące błędu. Niepojęte jest, że firma dysponująca zasobami i wpływami, jakie ma Valve, nie potraktuje poważnie kwestii naruszenia bezpieczeństwa. Wygląda na to, że jest to trend w Valve, ponieważ The Secret Club ujawniło na Twitterze, że Valve zrobiło to samo w przypadku dwóch innych podatności, które zgłosili członkowie zespołu.
## Valve wypłaca nagrodę, ale odmawia naprawy błędu
Nie jest już nowością, że Florian zgłosił błąd RCE, a Valve go nie naprawiło. Co szokujące, Valve przyznało, że otrzymało raport Floriana około sześć miesięcy temu i wypłaciło nagrodę, ale nadal nie naprawiło podatności. Powiedział, że ostatni raz miał kontakt z Valve sześć miesięcy temu, kiedy to wypłacili mu nagrodę za pośrednictwem HackerOne. Valve nawet zapewniło go, że pracuje nad naprawieniem podatności, ponieważ wcześniej naprawiło coś podobnego w grze korzystającej z silnika Source.
Badacz-student wyjaśnił, że potwierdził, iż Valve faktycznie naprawiło tę grę. Florian nie ujawnił, o którą grę chodzi, i wyjaśnił dlaczego w oświadczeniu. “Celowo tego nie wspomnieliśmy, ponieważ nie chcemy, aby ludzie szukali łatki w plikach binarnych gry, ponieważ to znacznie zmniejszyłoby wysiłek potrzebny do odtworzenia exploita dla wszystkich innych niezałatanych gier.” Jednakże, nie rozumiemy, dlaczego Valve zdecydowało się ignorować podatność CS:GO przez około dwa lata.
Z powodu polityki Valve w HackerOne, która uniemożliwia łowcom błędów zgłaszanie exploitów, Florian nie opublikował szczegółowego raportu na temat błędu. Inne programy łowienia błędów na HackerOne zazwyczaj stosują politykę, która pozwala badaczom ujawniać podatności, jeśli firma nie naprawi ich po określonym okresie (zwykle około 90 lub 180 dni). Valve, z drugiej strony, nie ma takiej polityki.
## Inni badacze potwierdzają, że Valve zignorowało zgłoszenia o błędzie
Inni badacze potwierdzili, że błąd w CS:GO istnieje i że Valve ignoruje zgłoszenia na jego temat. Carl Schou, czołowy członek The Secret Club, wyjaśnił, że osoby o złych zamiarach mogą wykorzystać błąd w CS:GO do kradzieży wrażliwych danych, w tym informacji finansowych i innych poświadczeń. Co najmniej trzech innych badaczy twierdzi, że Valve zignorowało ich raporty. Opublikowali różne filmy pokazujące, jak działa luka w zdalnym wykonaniu kodu, gdy użytkownik zaakceptuje zaproszenie na złośliwy serwer społeczności.
Brymko (@brymko na Twitterze), Carl Smith (@cffsmith na Twitterze) oraz Simon Scannell (scannell_simon) mają na YouTube filmy demonstrujące błąd RCE w CS:GO. Po opublikowaniu na Twitterze swojego filmu demonstracyjnego exploitu, inny badacz wyjaśnił, jak również zgłosił błąd, ale Valve zignorowało jego raport przez ponad rok. Bien Pham (@bienpnn na Twitterze), inżynier oprogramowania, mówi, że zgłosił błąd do Valve 2 kwietnia 2020 roku, a firma go zignorowała.
## Valve Wreszcie Naprawia Błąd
17 kwietnia 2021 roku, Florian (@floesen_ na Twitterze) opublikował to na Twitterze: “Dobre wieści! Valve naprawiło mój ostatni exploit i dało mi pozwolenie na ujawnienie szczegółów. Biorąc to pod uwagę, pracuję nad szczegółowym technicznym opracowaniem, które zamierzam wkrótce opublikować. Bądźcie czujni!” Chociaż to świetne wieści, zaniedbanie ze strony Valve pokazuje, że nie dba o ochronę osobistych informacji swoich użytkowników ani o integralność swoich gier.
Na swoim koncie na Twitterze, The Secret Club zgłosiło kilka innych błędów, których Valve nie naprawiło. Obejmują one błąd serwera społecznościowego w Team Fortress 2 oraz dwa inne błędy RCE w CS:GO. Czy potrzebujemy kolejnego publicznego oburzenia, zanim Valve naprawi te błędy?
## Historia Valve ignorowania błędów
W sierpniu 2019 roku, Vasily Kravets, badacz bezpieczeństwa, publicznie ujawnił exploit typu zero-day w platformie Steam firmy Valve, po tym jak Valve wykluczyło go z ich programu nagród za znalezienie błędów HackerOne. Odkrył on lukę w kliencie Steam, z której mogłaby skorzystać dowolna złośliwa jednostka. Błąd był podatnością na eskalację uprawnień, która mogłaby pozwolić złemu aktorowi na uruchomienie dowolnego programu z najwyższymi możliwymi prawami dostępu na systemie Windows z zainstalowanym Steamem Valve.
W rzeczywistości odkrył więcej niż jednego błędu i ujawnił je publicznie dopiero po odkryciu drugiego błędu. Po odkryciu pierwszego błędu, złożył raport na HackerOne, który Valve odrzuciło, ponieważ jego zespół na HackerOne nie uznał błędu za problem z bezpieczeństwem. Następnie odkrył drugi błąd i próbował go zgłosić, ale Valve zbanowało go na swojej platformie do zgłaszania błędów HackerOne.
Czterdzieści pięć dni po początkowym odkryciu przez Vasily’ego Kraveta, opublikował on raport publicznie, mimo że HackerOne zabronił mu tego. Jednak po jego publicznym proteście, Valve naprawiło błąd związany z eskalacją uprawnień. Valve przyznało, że popełniło błąd, klasyfikując początkowe odkrycie Kraveta jako poza zakresem. Firma zaktualizowała również swoje wytyczne dotyczące zgłaszania błędów, aby zapobiec powtórzeniu się tego typu błędów.
## Podsumowanie
Przeszłość i teraźniejszość Valve pokazały, że firma ta mało dba o to, aby jej użytkownicy Steam mieli najlepsze zabezpieczenia. Biorąc pod uwagę jej przeszłość, warto zastanowić się dwa razy, zanim zdecydujesz się na korzystanie z jakichkolwiek jej produktów lub usług. Na szczęście Valve naprawiło błąd w CS:GO, który mógł pozwolić złym aktorom na przejęcie kontroli nad twoim systemem komputerowym.