Valve не исправляла критическую уязвимость в легендарной Dota 2 больше года

Уязвимость, отслеживаемая как CVE-2021-38003, находилась в движке JavaScript, известном как V8, который встроен в Dota 2. Google при этом исправила эту уязвимость еще в октябре 2021 года, а компания Valve, разработчик Dota 2, не обновляла свое ПО до прошлого месяца.

В электронном письме исследователь компании Avast Jan Vojtěšek описал принцип работы этого бэкдора следующим образом:

• Жертва заходит в игру, играя в один из вредоносных игровых режимов.

• Игра загружается, как и ожидалось, но в фоновом режиме вредоносный JavaScript обращается к серверу игрового режима.

• Код сервера игрового режима связывается с C&C-сервером бэкдора, загружает часть кода JavaScript (предположительно, эксплойт для CVE-2021-38003) и возвращает загруженный код обратно жертве.

• Жертва динамически выполняет загруженный JavaScript. Если это был эксплойт для CVE-2021-38003, то это привело бы к выполнению вредоносного кода на машине жертвы.