jeu. Mar 28th, 2024
Valve laisse les pirates infecter les joueurs Dota 2 avec des logiciels malveillants pendant des mois
Rate this post

Grâce à un total de quatre mods que Valve a publiés aveuglément sur Steam, un attaquant propage des logiciels malveillants parmi les joueurs de Dota 2 depuis mars 2022.

Jusqu’à la mi-janvier 2023, une vulnérabilité critique dans Dota 2 permettait à un attaquant de distribuer des logiciels malveillants à de nombreux joueurs. Bien qu’il existe depuis longtemps une solution à cela, Valve a laissé la vulnérabilité, connue depuis 2021, non corrigée pendant des mois. Il aurait dû être remarqué avec le premier des quatre mods utilisés à cet effet qu’il y a quelque chose de très paresseux chez le développeur.

Valve a laissé des vulnérabilités connues non corrigées pendant des mois

Les chercheurs ont découvert quatre mods infestés de logiciels malveillants qui ont permis à un attaquant d’exploiter une vulnérabilité critique dans Dota 2. La vulnérabilité provenant du moteur Javascript open source V8 de Google était déjà connue depuis une quinzaine de mois. Il y a eu un correctif pour cela depuis octobre 2021.

Cependant, Valve n’a adopté cela que le 12 janvier 2023 pour combler l’écart évalué à un niveau de gravité (CVSS) de 8,8. Plus précisément, les chercheurs en sécurité d’Avast ont d’abord dû alerter le développeur du jeu du danger posé par CVE-2021-38003 avant que le développeur du jeu ne se penche sur le problème.

Comme le rapporte Ars Technica, un pirate a exploité la vulnérabilité dès mars 2022. Il a publié quatre mods Dota 2 pour infecter les systèmes de certains joueurs avec des logiciels malveillants. Et le modding est tout sauf impopulaire dans ce titre.

Voir aussi  La télé 8K au final ? Pas de nouveaux modèles de LG et TCL

Le premier mod Dota 2 était un test de distribution de logiciels malveillants

Bien que Valve examine généralement les nouveaux mods avant que la société ne les rende disponibles sur Steam, les mods malveillants de l’attaquant semblaient de toute façon être arrivés sur la plate-forme. Ce n’est que lorsque la faille de sécurité a été éliminée en janvier que le fabricant du jeu a également fait disparaître les mods.

Avec le premier mod publié avec l’ID 1556548695, il était évident qu’il s’agissait d’un test pour le moment. A côté du titre « tester l’addon plz ignorer” a également incité la description à s’abstenir de l’installer.

Mod de test pour Dota 2 sur Steam infecté par un malware
Mod de test infecté par un logiciel malveillant pour Dota 2 sur Steam (Source : Avast)

Pourquoi Valve publie même de telles absurdités sur Steam est plus que discutable. Les joueurs devraient en fait pouvoir supposer que le logiciel qui y est proposé est généralement testé et sûr.

D’autant plus qu’une analyse de code a permis de conclure que la modification contenait un exploit pour CVE-2021-38003. Certaines parties provenaient même du code de preuve de concept dans le Chromium Bug Tracker. En conséquence, l’attaquant a pu exécuter des commandes système arbitraires et, si nécessaire, installer des logiciels malveillants supplémentaires sur les machines des joueurs Dota 2.

« Cette porte dérobée permet l’exécution de tout JavaScript reçu via HTTP, donnant à l’attaquant la possibilité de masquer et de modifier le code d’exploitation à sa discrétion sans passer par le processus de vérification du mode de jeu, qui peut être dangereux, et l’ensemble du mode de jeu de mise à jour personnalisé. ”

Jan Vojtesek (Avast)

Trois autres mods ciblaient les joueurs de Dota 2

Plus tard, le même développeur a soumis trois autres mods. Leurs titres visaient davantage à rendre les joueurs curieux :

  • « Overdog pas de héros ennuyeux” (ID 2776998052)
  • « Bagarre de héros personnalisée” (ID 2780728794)
  • « Renverser l’édition RTZ X10 XP” (ID2780559339)
Voir aussi  Katfile.com encourage les utilisateurs à devenir actionnaires

Lorsque les chercheurs d’Avast ont découvert les mods du jeu, le serveur qu’ils essayaient de contacter n’était plus joignable. Cependant, comme ils provenaient du même développeur que le mod de test publié 10 jours plus tôt, les chercheurs en sécurité ont supposé qu’ils exploitaient également CVE-2021-38003 pour infecter les lecteurs Dota 2 avec des logiciels malveillants.

Selon le rapport d’Avast, le titre MOBA populaire n’a pas utilisé le moteur Javascript V8 dans un bac à sable. Donc avoir « l’exploit seul est l’exécution de code à distance contre d’autres lecteurs Dota » activé.