Counter-Strike: Global Offensive (CS:GO) sofria com um bug que facilitava a invasão de hackers por meio do chat do Steam. A falha de segurança foi reportada pela primeira vez há dois anos pelo usuário Florian, um dos membros do grupo sem fins lucrativos de pesquisadores em segurança Secret Club. No último sábado (17), Florian revelou no Twitter que a Valve havia consertado o erro na atualização de abril de CS:GO.
Counter-Strike: Global Offensive (Imagem: Divulgação/Valve)
O vídeo que mostrava o bug em ação viralizou no Twitter
Em 10 de abril, o Secret Club publicou um vídeo no Twitter em que Florian mostrava a falha de CS:GO em ação. Em resumo, para entrar em um PC o hacker só precisava enviar um convite de jogo pelo chat do Steam para o usuário que quisesse atacar. Quando a solicitação era confirmada, o invasor ganhava acesso total ao computador da vítima.
A gravação logo viralizou na rede social entre a comunidade de Counter-Strike, que começou a pedir atenção da desenvolvedora. Antes disso, Florian já havia reportado o erro há dois anos pelo HackerOne — programa da Valve no qual pessoas são pagas por acharem bugs nos jogos. A empresa, porém, só enviou a primeira resposta após um ano e meio de espera, segundo o pesquisador do Secret Club.
Two years ago, secret club member @floesen_ reported a remote code execution flaw affecting all source engine games. It can be triggered through a Steam invite. This has yet to be patched, and Valve is preventing us from publicly disclosing it. pic.twitter.com/0FWRvEVuUX
— secret club (@the_secret_club) April 10, 2021
Em entrevista ao BleepingComputer, um dos líderes do Secret Club, Carl Schou, explicou que a falha de segurança era grave, pois poderia expor dados pessoas de qualquer usuário entre os 27 milhões de jogadores de Counter-Strike: Global Offensive.
CS:GO não é o único jogo da Valve com falhas de segurança
O CS:GO, porém, não era o único jogo com vulnerabilidades no Steam. Esse bug em específico ocorria devido a uma brecha de segurança no motor gráfico Source, desenvolvido pela Valve. Isso significa que o erro afetava não só Counter-Strike, como também Half-Life 2, Garry’s Mod, Team Fortress 2, Left 4 Dead, Portal 2, ou qualquer outro game criado com a engine.
Na primeira resposta enviada a Florian, seis meses atrás, a Valve garantiu ter consertado o erro em um dos games da empresa. Contudo, o pesquisador não quis revelar qual deles havia sido corrigido. De acordo com ele, se o nome do título fosse divulgado, os hackers poderiam encontrar o patch entre os arquivos do jogo e remover a proteção.
A Valve demora para responder aos reportes de bugs
No Twitter, o Secret Club compartilhou outras duas postagens de usuários que também identificaram mais falhas de segurança em CS:GO. Segundo o grupo, esses bugs também foram reportados para a Valve há mais de cinco meses, mas a empresa ainda não respondeu às mensagens.
“Sobre o tema do nossa thread anterior, temos @brymko @cffsmith @scannell_simon mostrando suas execuções remotas de códigos de dia zero em CS:GO. Isso foi enviado para a Valve meses atrás, mas a empresa nunca pagou pelo reporte ou reconheceu a brecha de segurança”, disse o grupo em um dos tweets.
On the topic of our previous thread, we have @brymko @cffsmith @scannell_simon showcasing their remote code execution 0-day for CS:GO. This has been reported to Valve months ago, but they have neither paid them nor acknowledged the exploit. pic.twitter.com/yGUJTZZzrO
— secret club (@the_secret_club) April 10, 2021
“A terceira é de vez; membro do Secret Club, mev mostra sua execução remota de códigos de dia zero em CS:GO. Esse bug foi reportado para a Valve há cinco meses, mas sem resposta da empresa”, postou o Secret Club.
Third times a charm; @the_secret_club member mev showcases their remote code execution 0-day for CS:GO. This has been reported to Valve 5 months ago with no response from Valve. pic.twitter.com/Jw8icRPh3j
— secret club (@the_secret_club) April 10, 2021
Com informações: Eurogamer, Vice.
Valve conserta bug em CS:GO que permitia invasão de hackers pelo Steam
0 Commentaires