Исследователи ранее обнаружили четыре игровых режима, которые могут успешно использовать критическую уязвимость, остававшуюся незакрытой в популярной видеоигре Dota 2. Valve не исправляла ее в течение 15 месяцев.
Уязвимость, отслеживаемая как CVE-2021-38003, находилась в движке JavaScript, известном как V8, который встроен в Dota 2. Google при этом исправила эту уязвимость еще в октябре 2021 года, а компания Valve, разработчик Dota 2, не обновляла свое ПО до прошлого месяца.
В электронном письме исследователь компании Avast Jan Vojtěšek описал принцип работы этого бэкдора следующим образом:
-
Жертва заходит в игру, играя в один из вредоносных игровых режимов.
-
Игра загружается, как и ожидалось, но в фоновом режиме вредоносный JavaScript обращается к серверу игрового режима.
-
Код сервера игрового режима связывается с C&C-сервером бэкдора, загружает часть кода JavaScript (предположительно, эксплойт для CVE-2021-38003) и возвращает загруженный код обратно жертве.
-
Жертва динамически выполняет загруженный JavaScript. Если это был эксплойт для CVE-2021-38003, то это привело бы к выполнению вредоносного кода на машине жертвы.
