一位安全研究人员在 Valve 的游戏引擎中发现了一个“严重”漏洞,当前热门的《反恐精英》线上游戏也受到了波及。尽管早在 2019 年 6 月就发出了警告,但遗憾的是,作为 Source Engine 和《CS:Go》、《Team Fortress 2》等游戏的制造商,该公司的修复速度实在太慢。
视频截图(来自:Secret Club / YouTube)
Motherboard 报道称,黑客已能够通过诱骗不知情的玩家点击 Steam 游戏邀请,实现对受害者计算机的控制。
安全研究人员 Florian 指出,尽管可导致受害者计算机被攻击者完全控制的 Source Engine 漏洞已在部分游戏中得到了修复,但同样的问题仍存在于《CS:Go》中。
Source Engine RCE exploit triggered via steam invite(via)
Valve 与 Florian 在漏洞赏金平台 HackerOne 上有所往来,且承认对这个“严重”漏洞的处理响应有点慢。
然而最让 Florian 感到失望的是,Valve 大部分时间都没有去搭理他。直到数月后有另一位研究人员也发现了同样的 Bug,并将之与原始报告合并。
虽然 Valve 方面没有回应此事,但据 Florian 的预估,其编写的这份漏洞利用代码,有高达 80% 的几率实现有效利用。据其所述,黑客能够利用此漏洞,并像蠕虫一样传播。
一旦你顺利感染了某位受害者的机器,便可将之“武器化”,以感染受害者的其他游戏好友。庆幸的是,目前除了《CS:Go》,Valve 似乎已经修复了其它游戏中的这个 Bug 。
不过这也不是我们首次见到 Valve 的这项“传统艺能”。比如 2018 年的时候,就有一位安全研究人员在 Steam 中发现了一个允许攻击者接管受害者计算机、且存在已经长达 10 年的漏洞。
此外 2019 年的时候,Valve 限制了某位安全研究人员的漏洞奖赏,迫使其选择了公开披露该零日漏洞利用程序。