Команда Check Point обнаружила уязвимости в игровой платформе Steam от компании Valve. Корень проблем крылся в библиотеке Game Networking Sockets (GNS или Steam Sockets). GNS является основной сетевой библиотекой, используемой в самых разных играх, включая собственные игры Valve (такие как CS: GO, Dota2, Team Fortress 2), а также сторонние тайтлы (например, Destiny 2).
Исследователи обнаружили сразу несколько уязвимостей в имплементации GNS от Valve. Они рассказывают, что библиотека может поддерживать связь как в P2P-режиме, так и так и в централизованном режиме клиент-сервер. Именно этот фактор стал ключевым, поскольку так злоумышленники могут получить контроль над компьютером, подключенным к стороннему игровому серверу.
Используя уязвимости в GNS, хакеры могли проводить множество различных атак, которые могли повлечь за собой серьезные последствия. Например, злоумышленник мог вывести из строя игровой клиент противника, чтобы победить в матче, или даже обеспечить «эффектный» rage quit, полностью выведя из строя игровой сервер Valve и убедившись, что нормально играть не будет никто.
Наиболее опасной специалисты называют ситуацию, когда пользователи играют в игру, созданную сторонними разработчиками. В этом случае хакер мог удаленно скомпрометировать игровой сервер, чтобы выполнить на нем произвольный код. В итоге же злоумышленник получал доступ к личным данным и персональной информации других игроков.
Опираясь на статистические данные от Steam, эксперты делают вывод, что уязвимости в GNS каждый день ставили под угрозу сотни тысяч игроков, ведь в 2019 году Steam пользовались более 95 миллионов геймеров в месяц, которые получали доступ более чем к 34 000 игр. И если раньше пользователи подвергались атакам, кликая на ссылку или скачивая файл с малварью, то в данном случае стать потенциальной жертвой злоумышленников можно было просто войдя в игру.
В общей сложности специалисты Check Point уведомили компанию Valve о четырех уязвимостях в GNS (CVE-2020-6016, CVE-2020-6017, CVE-2020-6018 и CVE-2020-6019), и еще в сентябре 2020 года инженеры Valve своевременно устранили все баги.
«Мы рекомендуем пользователям обновить игры сторонних разработчиков. Особое внимание стоит уделить играм, скачанным до 4 сентября 2020 года — именно в этот день Valve выпустила патч для библиотеки Steam», — рассказывает Василий Василий Дягилев, глава представительства Check Point Software Technologies в России и СНГ.