[English]Die Gaming-Plattform Steam weist schwerwiegende Schwachstellen auf. Sicherheitsforscher von Check Point haben herausgefunden, dass Angreifer die gefundenen Bugs ausnutzen können, um die Sitzung eines Spielers wiederholt zum Absturz zu bringen. Aber es sind wohl auch die Übernahme des Rechner eines Opfers oder das Infizieren aller anderen Computer, die mit einem Third-Party-Server verbunden sind, möglich.
Anzeige
Die Warnung von der Threat-Intelligence-Abteilung des Sicherheitsanbieters Check Point Research, die mir gerade zuging, warnt alle Videospieler, welche die Plattform Steam von Valve nutzen, vor gefährlichen Sicherheitslücken in der Steam Library. Wie bereits erwähnt: Angreifer können Sitzungen zum Absturz bringen, Rechner übernehmen und über Third-Party-Server alle verbundenen Rechner infizieren. Dazu begeben sich die Angreifer direkt in eine Online-Partie. Potentiell kann also jeder Gegenspieler ein Krimineller sein. Steam meldet derzeit über 25 Millionen Nutzer. Unter den zehn beliebtesten Spielen sind derzeit Counter Strike: Global Offensive, Dota 2 und Destiny 2. Alle waren anfällig.
Die vier Schwachstellen
Die vier Schwachstellen, CVE-2020-6016 bis CVE-2020-6019, wurden von den Check Point-Sicherheitsforschern in der Network Library von Steam gefunden. Diese ist auch als Steam Sockets bekannt, und wird sowohl auf den Steam-Servern als auch in den Rechnern der Spieler installierte Steam Clients verwendet. Denn die Network Library wird als Tool für Entwickler angeboten, die ihre Spiele über Steam veröffentlichen möchten.
Der Angriff
Hacker starten die Attacke, indem sie haufenweise infizierte Datenpakete an einen Gegenspieler innerhalb eines Online-Matches senden, an dem sie teilnehmen. Es bedarf dabei keiner Interaktion des Opfers, um die Datenpakete anzunehmen. Anschließend ist es dem Hacker möglich, die Schwachstellen auszunutzen und verschiedene Befehle durchzuführen, wie den Absturz einer Sitzung oder die Übernahme des Rechners. Gleiches funktioniert auch mit kompletten Third-Party-Servern. Sogar der Ablauf der Attacke ist identisch.
Schwachstellen sind geschlossen
Check Point hat die Schwachstellen im September 2020 an Steam gemeldet. Drei Wochen später wurden Patches für eigene Spiele von Valve ausgerollt. Diese müssen verpflichtend vor dem nächsten Start eines Spiels installiert werden. Das ist die gute Seite der Geschichte. Es gibt aber eine negative Seite, nämlich Spiele von Drittanbietern.
Anzeige
Die Drittanbieter wurden zwar informiert. Diese sind aber selbst für entsprechende Sicherheitsupdates für ihre Spiele verantwortlich und müssen die Clients aktualisieren. Check Point vermutet, dass also weiterhin Titel und Spieler gefährdet sein können, für die kein Patch zu Verfügung steht.
„Videospiele haben während der aktuellen Krise ein Allzeit-Hoch erreicht. Doch bei Millionen von Menschen, die derzeit Online spielen, kann eine kleine Sicherheitslücke zum ernsthaften Problem für die jeweiligen Spieleentwickler aber auch die Privatsphäre der Gamer werden. Christine Schönig, Regional Director Security Engineering CER, Office of the CTO – der Check Point Software Technologies GmbH, erklärt:
Über die von uns enttarnten Schwachstellen hätte ein Angreifer jeden Tag hunderttausende von Endgeräten übernehmen können, ohne das Wissen der Opfer. Ebenso möglich war die Sabotage von Online-Spielen, weil Angreifer den Server zu einem beliebigen Zeitpunkt zum Absturz bringen konnten, um so das Spiel für alle Spieler schlagartig zu beenden.
Beliebte Online-Plattformen sind eben ein gutes Einfallstor für Angreifer. Wenn sich Millionen von Nutzern am selben Server anmelden, steigt die Brisanz und daraus resultierende Bedrohung eines zuverlässigen Exploits exponentiell an. Angesichts der aktuell sprunghaft ansteigenden Popularität und der massiven Nutzung von Videospielen, sollte die Gaming-Industrie etwas genauer unter die Sicherheitslupe genommen werden. Gamer sollten darauf achten, welche Spiele sie vor September dieses Jahres heruntergeladen und gespielt haben, ob diese entsprechend aktualisiert wurden und ob ihr Rechner möglicherweise infiziert ist.
Check Point hat einen Überblick über das Thema veröffentlicht, alle technischen Einzelheiten finden sich in diesem Artikel. Beide Artikel sind in Englisch verfasst.
Anzeige
Ich denke da macht es sich Valve aber auch etwas zu einfach, mit der Verantwortung.
Die eigenen Spiele fixt man und an Kunden – mit denen sie nun auch nicht eben wenig Geld verdienen – delegieren sie.
Dabei scheint das Problem alleine an der/den Network Library von Steam zu liegen.