未修补的漫威游戏RCE漏洞可能会让黑客接管PC和PS5

热门网络游戏《Marvel Rivals》被发现存在一个严重的安全漏洞，这引起了人们对黑客可能利用毫无戒心的玩家进行攻击的警惕。

该漏洞被认定为远程代码执行(RCE) 漏洞，允许同一网络上的攻击者在另一个玩家的设备上运行任意代码。这一漏洞凸显了人们对游戏行业安全实践的持续担忧。

远程代码执行漏洞

该问题源于 Marvel Rivals 的修补程序系统，该系统使用远程代码执行来更新游戏。

然而，系统无法验证它是否连接到合法的游戏服务器。更糟糕的是，游戏以管理员权限在玩家的设备上运行，这是一项旨在防止作弊的措施，但却大大增加了被利用的风险。

不安全的服务器验证和提升的权限相结合，为攻击者创造了一场完美风暴。

黑客只需与受害者位于同一个 Wi-Fi 网络上，便可以在受害者不知情的情况下在其设备上运行有害命令。

RCE 漏洞是软件中最危险的漏洞之一，因为它们可以让攻击者完全控制系统。

此漏洞的影响范围不仅限于 PC。根据研究人员分享的概念验证视频，此漏洞还可作为攻击运行Marvel Rivals的 PlayStation 5 游戏机的切入点。

这引发了人们对更广泛的平台安全性以及其他游戏或系统中可能出现类似漏洞的担忧。

此次漏洞的发现凸显了游戏行业中一个反复出现的问题：对安全性关注不足。发现该漏洞的研究人员对开发人员对漏洞报告缺乏响应表示沮丧。

他们透露，在过去的一年里，他们已经在主要游戏中发现了至少五个严重的错误，其中三个由于开发人员反应迟钝或漠不关心而仍未修补。

许多游戏公司缺乏漏洞赏金计划，这加剧了这个问题。安全研究人员往往不愿意负责任地披露漏洞，因为没有激励措施或明确的报告渠道。相反，有些人可能会创建黑客或机器人，这可能更有利可图，但对玩家群体不利。

“安全研究人员很难向大多数游戏开发公司报告漏洞。最重要的是，大多数公司都没有漏洞赏金计划。”研究人员说。

开发人员必须优先验证服务器连接、限制管理权限并建立清晰的漏洞报告渠道。漏洞赏金计划（如一些公司成功实施的计划）可以大大鼓励负责任的披露并提高整体游戏安全性。

这一漏洞的发现得益于与多位贡献者的合作，包括 AeonLucid、LukeFZ、nitro 和 sanktanglia，他们协助进行网络加密分析。

随着网络游戏越来越受欢迎，其成为网络攻击目标的吸引力也越来越大。开发人员必须采取主动措施，确保他们的游戏对玩家来说是安全的，以免此类漏洞被大规模利用。

来源：https://cybersecuritynews.com/unpatched-marvel-game-rce-exploit/