Un actor de amenazas desconocido creó modos de juego maliciosos para el videojuego de campo de batalla en línea multijugador (MOBA) de Dota 2 que podría haberse aprovechado para establecer acceso de puerta trasera a los sistemas de los jugadores.
Los modos explotaron una falla de alta severidad en el motor JavaScript V8 rastreado como CVE-2021-38003 (puntaje CVSS: 8.8), que fue explotado como un día cero y abordado por Google en octubre de 2021.
«Dado que V8 no estaba aislado en Dota, el exploit por sí solo permitió la ejecución remota de código contra otros jugadores de Dota», investigador de Avast, Jan Vojtěšek. dicho en un informe publicado la semana pasada.
Tras la divulgación responsable a Valve, el editor del juego correcciones enviadas el 12 de enero de 2023, al actualizar la versión de V8.
Los modos de juego son esencialmente capacidades personalizadas que puede aumentar un título existente u ofrecer un juego completamente nuevo de una manera que se desvía de las reglas estándar.
Si bien la publicación de un modo de juego personalizado en la tienda Steam incluye un proceso de investigación de Valve, los modos de juego maliciosos descubiertos por el proveedor de antivirus lograron pasar desapercibidos.
Estos modos de juego, que desde entonces han sido eliminados, son «complemento de prueba, por favor, ignóralo», «Overdog sin héroes molestos», «Pelea de héroe personalizada» y «Overthrow RTZ Edition X10 XP». También se dice que el actor de amenazas publicó un quinto modo de juego llamado Brawl en Petah Tiqwa que no incluía ningún código malicioso.
Incrustado dentro de «test addon plz ignore» hay un exploit para la falla V8 que podría armarse para ejecutar shellcode personalizado.
Los otros tres, por otro lado, adoptan un enfoque más encubierto en el que el código malicioso está diseñado para llegar a un servidor remoto para obtener una carga útil de JavaScript, que también es probable que sea una vulnerabilidad para CVE-2021-38003 desde el el servidor ya no es accesible.
En un escenario de ataque hipotético, un jugador que inicia uno de los modos de juego anteriores podría ser atacado por el actor de amenazas para lograr el acceso remoto al host infectado e implementar malware adicional para una mayor explotación.
No se sabe de inmediato cuáles fueron los objetivos finales del desarrollador detrás de la creación de los modos de juego, pero es poco probable que sean para fines de investigación benignos, señaló Avast.
«Primero, el atacante no informó la vulnerabilidad a Valve (lo que generalmente se consideraría algo agradable)», dijo Vojtěšek. «En segundo lugar, el atacante trató de ocultar el exploit en una puerta trasera sigilosa».
«Independientemente, también es posible que el atacante tampoco tuviera intenciones puramente maliciosas, ya que podría decirse que tal atacante podría abusar de esta vulnerabilidad con un impacto mucho mayor».