Ein Fehler in Valves Source Engine macht es möglich, fremde PCs über den Mittelsmann Steam zu kapern, wenn auf dem Ziel-System eine Steam-Einladung aufgerufen wird. Das hat der Twitter-Nutzer „Florian“ (@floesen_) jetzt öffentlich gemacht – nachdem er die Lücke bereits vor zwei Jahren an Valve gemeldet hatte.
Das Problem besteht seit zwei Jahren
Bereits im Dezember 2020 hatte sich „Florian“ auf Twitter öffentlich über die lange Wartezeit zwischen der Meldung einer Sicherheitslücke sowie deren Verifizierung und der abschließenden Auszahlung des von Valve versprochenen „Kopfgeldes“ beklagt. Dem dort präsentierten Screenshot zufolge wurde die Lücke bereits am 5. Juni 2019 an Valve gemeldet. Der Konzern hätte ihn schlichtweg „ignoriert“, gab Florian gegenüber Motherboard zu verstehen. Dabei sei die Lücke als kritisch eingestuft und von anderen Hackern schon nach wenigen Monaten verifiziert worden, obwohl er, um Valve nicht zu schaden, öffentlich keine Details geteilt hatte.
Über die Lücke in der Engine ist es möglich, die Kontrolle über den Rechner zu übernehmen. Sie lässt sich ausnutzen, indem dem Opfer eine Einladung für ein betroffenes Spiel auf Steam übermittelt und diese daraufhin aufgerufen wird. Das folgende Video zeigt, wie der Angreifer im Anschluss den Windows-Taschenrechner öffnet.
Seine Belohnung hat Forian inzwischen zwar erhalten und die Lücke wurde in ausgewählten Source-Engine-Spielen mittlerweile geschlossen. Mindestens Counter-Strike: Global Offensive weist sie aber immer noch auf. Weil er davon ausgeht, dass sie abschließend nur dann aus der Welt geschafft wird, wenn das Thema nach zwei Jahren an die Öffentlichkeit kommt, hat Florian genau das jetzt getan.
We can currently only verify this specific exploit in CS:GO. We can not say for sure if and when things have been patched in other games throughout the time without us being notified about it.
— secret club (@the_secret_club) April 12, 2021
Auch andere Lücken sind nach zwei Jahren noch offen
Die Non-Profit-Hacking-Organisation secret club, der auch Florian angehört, teilt derweil über Twitter mit, dass es eine weitere Sicherheitslücke gibt, die bereits vor zwei Jahren gemeldet und bis heute nicht behoben wurde. Sie betrifft in diesem Fall Team Fortress 2.
Valve hat sich auf Rückfrage des US-Magazins Motherboard bisher nicht zu dem Thema geäußert.
Die Redaktion dankt ComputerBase-Leser „Capthowdy“ für den Hinweis zu dieser Meldung!