黑客创建恶意的Dota 2游戏模式来秘密访问玩家的系统

一个未知的威胁行为者为 Dota 2 多人在线战斗竞技场 （MOBA） 视频游戏创建了恶意游戏模式，这些模式可能已被利用来建立对玩家系统的后门访问。

这些模式利用了 V8 JavaScript 引擎中的一个高严重性漏洞，该漏洞被跟踪为 CVE-2021-38003（CVSS 分数：8.8），该漏洞被利用为零日漏洞，并于 2021 年 10 月被 Google 解决。“由于V8没有在Dota中沙盒化，因此漏洞利用本身允许对其他Dota玩家进行远程代码执行，”Avast研究员Jan Vojtěšek在上周发布的一份报告中说。

在向 Valve 负责任地披露后，游戏发行商于 2023 年 1月 12 日通过升级 V8版本发布了修复程序。

游戏模式本质上是自定义功能，可以增强现有游戏或以偏离标准规则的方式提供全新的游戏玩法。

虽然将自定义游戏模式发布到 Steam 商店包括来自 Valve 的审查过程，但防病毒供应商发现的恶意游戏模式设法从裂缝中溜走了。

这些游戏模式已被取消，分别是“est addon plz ignore," "Overdog no annoying heroes," "Custom Hero Brawl," and "Overthrow RTZ Edition X10 XP。据说威胁演员还在Petah Tiqwa中发布了名为Brawl的第五个游戏模式，该模式不包含任何流氓代码。嵌入在“测试插件请忽略”中的是 V8 漏洞的漏洞，可以武器化以执行自定义外壳代码。

另一方面，其他三个采取了更隐蔽的方法，因为恶意代码旨在访问远程服务器以获取 JavaScript 有效负载，这也可能是 CVE-2021-38003 的漏洞利用，因为服务器不再可访问。

在假设的攻击场景中，启动上述游戏模式之一的玩家可能会成为威胁参与者的目标，以实现对受感染主机的远程访问，并部署其他恶意软件以供进一步利用。

Avast指出，目前尚不清楚开发人员创建游戏模式背后的最终目标是什么，但它们不太可能用于良性研究目的。首先，攻击者没有向Valve报告漏洞（这通常被认为是一件好事），其次，攻击者试图将漏洞隐藏在一个隐蔽的后门中。无论如何，攻击者也可能没有纯粹的恶意意图，因为这样的攻击者可能会滥用这个漏洞，产生更大的影响。

原文始发于微信公众号（黑猫安全）：黑客创建恶意的Dota 2游戏模式来秘密访问玩家的系统