Falla in Dota 2, Valve la corregge dopo 15 mesi

Una vulnerabilità nota dal 2021 e presente in Dota 2 è rimasta senza patch fino al mese scorso, dopo che i ricercatori di sicurezza di Avast hanno avvertito privatamente Valve che la falla era stata presa di mira. Tracciata con il codice CVE-2021-38003, la vulnerabilità riguarda il motore JavaScript V8 open source di Google, incorporato nel popolare videogioco. La vulnerabilità è stata corretta da Google ad ottobre del 2021, ma da allora Valve non ha mai applicato alcuna correzione al motore V8 utilizzato all'interno di Dota 2.

I ricercatori di sicurezza Avast hanno scoperto che un hacker, approfittando del ritardo, è riuscito a pubblicare almeno 4 modalità di gioco personalizzate capaci si sfruttare la vulnerabilità. Le modalità personalizzate di Dota 2 sono estensioni che possono essere realizzate da chi ha esperienza di programmazione e sottoposte a Valve. Il produttore verifica quanto inviato e in caso di approvazione le modalità personalizzate vengono pubblicate e rese disponibili a chiunque le voglia provare.

La prima modalità di gioco che è stata pubblicata ha l'aspetto di un progetto proof-of-concept che dimostra come sfruttare la vulnerabilità. Il suo nome era "test addon plz ignore", corredato inoltre di una descrizione che spiegava al pubblico di non scaricarlo o installarlo. All'interno di essa il codice composto per sfruttare la vulnerabilità CVE-2021-38003 era basato in parte sul codice proof-of-concept pubblicato nel bug tracker di Chromium, ma una gran parte è stata scritta dallo sviluppatore ex-novo. Il codice, ampiamente commentato, lasciava pochi dubbi sul fatto che la modalità fosse un semplice test.

I ricercatori di Avast hanno però individuato altre tre modalità personalizzate create dallo stesso sviluppatore: "Overdog no fastidios heroes", "Custom Hero Brawl" e "Overthrow RTZ Edition X10 XP". Queste tre modalità, all'analisi degli sviluppatori, hanno mostrato la presenza di codice più discreto e meno appariscente.

Spiegano i ricercatori: "Il codice dannoso in queste tre modalità è molto più sottile. [...] C'è solo una semplice backdoor composta da una ventina di righe di codice che può eseguire JavaScript arbitrario scaricato tramite HTTP, dando all'attaccante non solo la possibilità di nascondere il codice di exploit, ma anche la possibilità di aggiornarlo a propria discrezione senza dover aggiornare l'intera modalità personalizzata e dover affrontare un nuovo processo di verifica".

Un giocatore che avvia una delle modalità di gioco, avvia anche la backdoor e un codice JavaScript che contatta il server della modalità di gioco. A questo punto si raggiunge il server C&C della backdoor e scarica un frammento di codice che presumibilmente è l'effettivo exploit per la falla CVE-2021-38003. Se questo codice viene eseguito può comportare l'esecuzione di shellcode sulla macchina della vittima.

I ricercatori hanno provato a cercare altre modalità di Dota 2 che sfruttassero la vulnerabilità, ma con scarso successo. Dagli elementi raccolti non è stato possibile determinare con certezza quali siano stati gli scopi dello sviluppatore delle quattro modalità, anche se i ricercatori sostengono che vi sono alcune ragioni per supporre che le intenzioni non fossero solamente per ricerca: lo sviluppatore non ha infatti segnalato nulla a Valve, nemmeno la vulnerabilità, e ha inoltre cercato di occultare il codice perché passasse inosservato.

La vulnerabilità è stata corretta lo scorso mese, e Valve ha anche contestualmente provveduto a rimuovere le quattro modalità personalizzate individuate dai ricercatori Avast.