Valve: Source-Engine-Lücke macht(e) PCs über Steam angreifbar

Update 14.4.2021 14:03 Uhr

Bild: Valve

Ein Fehler in Valves Source Engine macht es möglich, fremde PCs über den Mittelsmann Steam zu kapern, wenn auf dem Ziel-System eine Steam-Einladung aufgerufen wird. Das hat der Twitter-Nutzer „Florian“ (@floesen_) jetzt öffentlich gemacht – nachdem er die Lücke bereits vor zwei Jahren an Valve gemeldet hatte.

Das Problem besteht seit zwei Jahren

Bereits im Dezember 2020 hatte sich „Florian“ auf Twitter öffentlich über die lange Wartezeit zwischen der Meldung einer Sicherheitslücke sowie deren Verifizierung und der abschließenden Auszahlung des von Valve versprochenen „Kopfgeldes“ beklagt. Dem dort präsentierten Screenshot zufolge wurde die Lücke bereits am 5. Juni 2019 an Valve gemeldet. Der Konzern hätte ihn schlichtweg „ignoriert“, gab Florian gegenüber Motherboard zu verstehen. Dabei sei die Lücke als kritisch eingestuft und von anderen Hackern schon nach wenigen Monaten verifiziert worden, obwohl er, um Valve nicht zu schaden, öffentlich keine Details geteilt hatte.

Über die Lücke in der Engine ist es möglich, die Kontrolle über den Rechner zu übernehmen. Sie lässt sich ausnutzen, indem dem Opfer eine Einladung für ein betroffenes Spiel auf Steam übermittelt und diese daraufhin aufgerufen wird. Das folgende Video zeigt, wie der Angreifer im Anschluss den Windows-Taschenrechner öffnet.

Seine Belohnung hat Forian inzwischen zwar erhalten und die Lücke wurde in ausgewählten Source-Engine-Spielen mittlerweile geschlossen. Mindestens Counter-Strike: Global Offensive weist sie aber immer noch auf. Weil er davon ausgeht, dass sie abschließend nur dann aus der Welt geschafft wird, wenn das Thema nach zwei Jahren an die Öffentlichkeit kommt, hat Florian genau das jetzt getan.

We can currently only verify this specific exploit in CS:GO. We can not say for sure if and when things have been patched in other games throughout the time without us being notified about it.
— secret club (@the_secret_club) April 12, 2021

Auch andere Lücken sind nach zwei Jahren noch offen

Die Non-Profit-Hacking-Organisation secret club, der auch Florian angehört, teilt derweil über Twitter mit, dass es eine weitere Sicherheitslücke gibt, die bereits vor zwei Jahren gemeldet und bis heute nicht behoben wurde. Sie betrifft in diesem Fall Team Fortress 2.

Valve hat sich auf Rückfrage des US-Magazins Motherboard bisher nicht zu dem Thema geäußert.

Update 17.04.2021 19:57 Uhr

Wie Florian auf Twitter mitteilt, hat Valve die Lücke jetzt geschlossen. Das Problem knapp zwei Jahre nach der Einsendung über das Valve-Bugbounty-Programm öffentlich zu machen, hat demnach binnen Tagen die erwünschte Reaktion gebracht. Jetzt, da die Sicherheitslücke nicht mehr existiert, will der Entdecker in Kürze im Detail über die Hintergründe berichten. Valve hat dem zugestimmt.

Good news! Valve fixed my recent exploit and gave me permissions to disclose details. That being said, I am working on a detailed technical write-up which I am going to release soon. Stay tuned!
— Florian (@floesen_) April 17, 2021

CB-Funk Podcast #66: EKWB am Abgrund, arm(e) AI-PCs und Benchmarks en masse mit Fabian und Jan-Frederik