Valve: Source-Engine-Lücke macht(e) PCs über Steam angreifbar
Ein Fehler in Valves Source Engine macht es möglich, fremde PCs über den Mittelsmann Steam zu kapern, wenn auf dem Ziel-System eine Steam-Einladung aufgerufen wird. Das hat der Twitter-Nutzer „Florian“ (@floesen_) jetzt öffentlich gemacht – nachdem er die Lücke bereits vor zwei Jahren an Valve gemeldet hatte.
Das Problem besteht seit zwei Jahren
Bereits im Dezember 2020 hatte sich „Florian“ auf Twitter öffentlich über die lange Wartezeit zwischen der Meldung einer Sicherheitslücke sowie deren Verifizierung und der abschließenden Auszahlung des von Valve versprochenen „Kopfgeldes“ beklagt. Dem dort präsentierten Screenshot zufolge wurde die Lücke bereits am 5. Juni 2019 an Valve gemeldet. Der Konzern hätte ihn schlichtweg „ignoriert“, gab Florian gegenüber Motherboard zu verstehen. Dabei sei die Lücke als kritisch eingestuft und von anderen Hackern schon nach wenigen Monaten verifiziert worden, obwohl er, um Valve nicht zu schaden, öffentlich keine Details geteilt hatte.
Über die Lücke in der Engine ist es möglich, die Kontrolle über den Rechner zu übernehmen. Sie lässt sich ausnutzen, indem dem Opfer eine Einladung für ein betroffenes Spiel auf Steam übermittelt und diese daraufhin aufgerufen wird. Das folgende Video zeigt, wie der Angreifer im Anschluss den Windows-Taschenrechner öffnet.
Seine Belohnung hat Forian inzwischen zwar erhalten und die Lücke wurde in ausgewählten Source-Engine-Spielen mittlerweile geschlossen. Mindestens Counter-Strike: Global Offensive weist sie aber immer noch auf. Weil er davon ausgeht, dass sie abschließend nur dann aus der Welt geschafft wird, wenn das Thema nach zwei Jahren an die Öffentlichkeit kommt, hat Florian genau das jetzt getan.
Auch andere Lücken sind nach zwei Jahren noch offen
Die Non-Profit-Hacking-Organisation secret club, der auch Florian angehört, teilt derweil über Twitter mit, dass es eine weitere Sicherheitslücke gibt, die bereits vor zwei Jahren gemeldet und bis heute nicht behoben wurde. Sie betrifft in diesem Fall Team Fortress 2.
Valve hat sich auf Rückfrage des US-Magazins Motherboard bisher nicht zu dem Thema geäußert.
Wie Florian auf Twitter mitteilt, hat Valve die Lücke jetzt geschlossen. Das Problem knapp zwei Jahre nach der Einsendung über das Valve-Bugbounty-Programm öffentlich zu machen, hat demnach binnen Tagen die erwünschte Reaktion gebracht. Jetzt, da die Sicherheitslücke nicht mehr existiert, will der Entdecker in Kürze im Detail über die Hintergründe berichten. Valve hat dem zugestimmt.