Pesquisadores Descobrem Falha no CS:GO Que Poderia Permitir a Hackers Sequestrar Seu Computador - TechRobot

Pesquisadores Descobrem Falha no CS:GO Que Poderia Permitir a Hackers Sequestrar Seu Computador

Com o aumento dos ciberataques em todo o mundo, poder-se-ia pensar que as empresas estão prestando mais atenção à sua infraestrutura de segurança. Aparentemente, esse não é o caso da Valve Corporation. Vários pesquisadores de segurança descobriram um bug no jogo Counter-Strike: Global Offensive (CS:GO) da Valve que poderia permitir que entidades maliciosas assumissem o controle do computador de um usuário. Um dos pesquisadores que descobriu esse bug pela primeira vez relatou-o em 2019, mas a Valve ignorou o relatório até um recente clamor público. Neste artigo, falaremos sobre a situação em torno deste bug de segurança.

O que é Counter-Strike: Global Offensive (CS:GO)?

Counter-Strike é uma série de jogos de vídeo de tiro em primeira pessoa multijogador onde duas equipes competem entre si. Cada equipe é composta por cinco jogadores e precisa completar objetivos específicos para vencer. Um grupo tem o papel de Terroristas (Ts) procurando cometer um ato de terror, enquanto o outro grupo tem o papel de Contra-Terroristas (CTs). Como a maioria dos jogos de tiro em primeira pessoa, o jogo recompensa os jogadores com uma moeda do jogo que podem gastar em armas e outras coisas. Existem diferentes modos com diferentes objetivos e características.

Lançado inicialmente no Windows OS em 2000, Counter-Strike cresceu para se tornar um dos jogos de tiro em primeira pessoa mais proeminentes da história. Está disponível para macOS, Windows, Linux, PS3 e Xbox360. A série Counter-Strike tem quatro jogos principais: Counter-Strike, Condition Zero, Source e Global Offensive. Embora tenham existido spin-offs, essas quatro séries são o que a maioria das pessoas jogou ao longo dos anos.

O lançamento mais recente é o Global Offensive, desenvolvido e lançado pela Valve em 21 de agosto de 2012. Cerca de 11 milhões de pessoas jogam mensalmente na plataforma Steam da Valve. Desde a sua criação, o Counter-Strike participou de vários torneios competitivos, incluindo a Cyberathlete Professional League, World Cyber Games e Electronic Sports World Cup. A Valve hospeda o torneio de Counter-Strike mais prestigiado e o chama de “Counter-Strike: Global Offensive Major Championships”.

Pesquisadores Descobrem Falha no CS:GO

Um grupo de hackers white-hat conhecido como The Secret Club descobriu uma nova vulnerabilidade no jogo Counter-Strike: Global Offensive que dá a um hacker a capacidade de assumir o controle do seu sistema computacional se você clicar em um convite para jogar o jogo no Steam. Ao usar o sistema de convites do Steam, hackers podem explorar a falha e roubar dados pessoais de qualquer pessoa que clique no link do convite por meio de uma execução remota de código (RCE). Um membro do The Secret Club descobriu o bug no Source, um motor de jogo 3D que a Valve desenvolveu. Há vários jogos que usam o motor Source, incluindo Counter-Strike: Global Offensive. No entanto, a maioria dos jogos que usam o motor Source já não possui mais a falha. Infelizmente, os jogadores de Counter-Strike: Global Offensive ficarão petrificados ao saber que esse bug ainda existe no jogo.

Um membro do The Secret Club chamado Florian (@floesen_ no Twitter) reportou inicialmente o bug para a Valve há dois anos (2019), mas a equipe da Valve não fez nada para corrigi-lo. Florian, um pesquisador estudante, explicou que expressou suas preocupações sobre a falha de execução remota de código para a Valve através do HackerOne. HackerOne é uma plataforma de recompensa por bugs que hackers podem usar para entrar em contato com empresas como a Valve se descobrirem bugs ou vulnerabilidades.

Florian revelou que, apesar de ter marcado o bug como crítico, a equipe da Valve não fez nenhum esforço para corrigi-lo e foi lenta em responder aos tópicos sobre o bug. É inconcebível que uma empresa com os recursos e influência que a Valve possui não leve a sério o assunto de uma violação de segurança. Parece que essa é a tendência com a Valve, como The Secret Club revelou no Twitter que a Valve fez o mesmo com outras duas vulnerabilidades que membros da equipe reportaram.

Valve Paga Recompensa Mas Recusa-se a Corrigir o Bug

Já não é novidade que Florian reportou o bug RCE, e a Valve não o corrigiu. O que é chocante é que a Valve reconheceu o relatório de Florian há cerca de seis meses e pagou a recompensa, mas ainda não corrigiu a vulnerabilidade. Ele disse que a última vez que ouviu falar da Valve foi há seis meses, quando eles lhe pagaram a recompensa através do HackerOne. A Valve até lhe garantiu que estava trabalhando na correção da vulnerabilidade, pois já havia corrigido algo semelhante em um jogo usando o motor Source. 

O pesquisador estudantil explicou que confirmou que a Valve realmente consertou aquele jogo. Florian não revelou qual jogo a Valve consertou e explicou o motivo em uma declaração. “Nós intencionalmente não mencionamos isso porque não queremos que as pessoas procurem pelo patch nos binários do jogo, pois isso reduziria muito o esforço para reconstruir o exploit para todos os outros jogos não corrigidos.” No entanto, não entendemos por que a Valve decidiu ignorar a vulnerabilidade do CS:GO por cerca de dois anos.

Devido à política da Valve no HackerOne, que impede caçadores de recompensas por bugs de relatar exploits, Florian não divulgou um relatório detalhado sobre o bug. Outros programas de recompensa por bugs no HackerOne geralmente seguem uma política que dá aos pesquisadores permissão para divulgar vulnerabilidades se a empresa não as corrigir após um período especificado (geralmente cerca de 90 ou 180 dias). A Valve, por outro lado, não possui tal política.

Outros Pesquisadores Confirmam que a Valve Ignorou Relatórios Sobre o Bug

Outros pesquisadores confirmaram que o bug do CS:GO existe e que a Valve tem ignorado os relatórios sobre ele. Carl Schou, um membro importante do The Secret Club, explicou que agentes mal-intencionados poderiam usar o bug do CS:GO para roubar dados sensíveis, incluindo informações financeiras e outras credenciais. Pelo menos três outros pesquisadores afirmam que a Valve ignorou seus relatórios. Eles postaram diferentes vídeos mostrando como a falha de execução remota de código funciona quando um usuário aceita um convite para um servidor comunitário malicioso.

Brymko (@brymko no Twitter), Carl Smith (@cffsmith no Twitter) e Simon Scannell (scannell_simon) têm todos vídeos no YouTube demonstrando a falha RCE do CS:GO. Após postar sua demonstração do exploit no Twitter, outro pesquisador explicou como também reportou o bug, mas a Valve ignorou seu relatório por mais de um ano. Bien Pham (@bienpnn no Twitter), um engenheiro de software, diz que reportou o bug para a Valve em 2 de abril de 2020, e a empresa o ignorou.

Valve Finalmente Corrige o Bug

Em 17 de abril de 2021, Florian (@floesen_ no Twitter) postou isso no Twitter: “Boas notícias! A Valve corrigiu meu exploit recente e me deu permissão para divulgar detalhes. Dito isso, estou trabalhando em um relatório técnico detalhado que vou lançar em breve. Fiquem ligados!” Embora esta seja uma ótima notícia, a negligência da Valve mostra que ela não se preocupa em proteger as informações pessoais de seus usuários ou a integridade de seus jogos.

Em sua conta no Twitter, The Secret Club relatou alguns outros bugs que a Valve não corrigiu. Eles incluem um bug de servidor comunitário no Team Fortress 2 e outros dois bugs de RCE no CS:GO. Será que precisaremos de outro clamor público antes que a Valve corrija esses bugs?

História da Valve de Ignorar Bugs

Em agosto de 2019, Vasily Kravets, um pesquisador de segurança, divulgou publicamente uma exploração de dia zero na plataforma Steam da Valve após ser banido do programa de recompensas por bugs HackerOne da empresa. Ele descobriu a falha no cliente Steam que qualquer entidade maliciosa poderia explorar. O bug era uma vulnerabilidade de escalonamento de privilégios que poderia permitir que um ator mal-intencionado executasse qualquer programa com os mais altos direitos de acesso em um sistema Windows com o Steam da Valve instalado.

Na verdade, ele descobriu mais de um bug e só tornou público após descobrir o segundo bug. Após descobrir o primeiro bug, ele enviou um relatório no HackerOne que a Valve rejeitou porque sua equipe do HackerOne não achava que o bug era um problema de segurança. Então, ele descobriu um segundo bug e tentou reportá-lo, mas a Valve o baniu de sua plataforma de recompensas por bugs do HackerOne.

Quarenta e cinco dias após a descoberta inicial de Vasily Kravet, ele divulgou o relatório publicamente, mesmo estando proibido pela HackerOne de fazer isso. No entanto, após seu protesto público, a Valve corrigiu a falha de escalonamento de privilégios. A Valve reconheceu que cometeu um erro ao classificar a descoberta inicial de Kravet como fora do escopo. Também atualizou suas diretrizes de relatório de bugs para evitar que esse tipo de erro aconteça novamente.

Conclusão

O passado e o presente da Valve mostraram que ela pouco se importa em garantir que seus usuários do Steam tenham a melhor segurança. Dados os seus antecedentes, talvez você queira pensar duas vezes antes de aderir a qualquer um de seus produtos ou serviços. Felizmente, a Valve corrigiu o bug do CS:GO que poderia permitir que atores mal-intencionados sequestrassem seu sistema de computador.