На прошлой неделе компания-разработчик популярной игры Street Fighter V, Capcom, представила обновление, вводящее в игру новую систему защиты. Разработчики представили этот механизм как решение для защиты от кряков (но не DRM), которое было создано чтобы «не дать пользователям взламывать исполняемые файлы». Также сообщалось, что новый механизм защитит игру от атак на адреса ячеек памяти, которые часто используются злоумышленниками для читерства и обманного получения внутриировой валюты.
«Новое анти-крякерское решение не требует подключения к сети и позволяет играть в оффлайновом режиме. Однако при каждом запуске игры от игрока потребуется подтверждение. Фактически данный шаг является хендшейком между исполняемыми файлами и зависимым драйвером, предваряющим запуск», — писали разработчики Capcom.
Именно драйвер, который требовало установить обновление, и смутил многих пользователей, которые в итоге провели собственное расследование. Оказалось, что обновление запрашивает у пользователя разрешение на установку драйвера capcom.sys, который оперирует на уровне ярда системы. По сути, данный драйвер умышленно отключает ряд ключевых защитных функций Windows, чтобы иметь возможность беспрепятственно наблюдать за происходящим в ядре и отслеживать работу известных читерских методик и инструментов.
Один из пользователей Reddit пишет, что всё самое «интересное» связано с обработчиком IOCTL, который проверяет управляющие коды 0xAA012044 и 0xAA013044, производит проверки, связанные с размером буфера, отключает SMEP (Supervisor Mode Execution Protection), а затем выполняет любой код, проводя его через буфер IOCTL с привилегиями ядра.
Игровое сообщество отреагировало на эту новость очень остро. На Reddit драйвер называли не иначе как бэкдором, и пользователи создали множество постов о capcom.sys и способах его удаления. В итоге разработчики Capcom были вынуждены срочно откатить выпущенное обновление и извиниться перед игровым сообществом:
«Сейчас мы откатываем меры безопасности, которые были добавлены в ПК-версию Street Fighter V [с последним обновлением]. После отката весь новый контент из сентябрьского обновления по-прежнему будет доступен игрокам. Мы приносим извинения за доставленные неудобства», — сообщили разработчики.
The rollback to the PC version of SFV prior to the security measure update is now live. The new September content is included.
— Street Fighter (@StreetFighter) September 24, 2016