"Counter-Strike GO": Code kann über Steam-Einladungslink eingeschleust werden
Über das Einladungssystem beim Spiel "Counter-Strike: GO" kann Code auf fremde Rechner geschleust werden. Valve hat den Fehler nach zwei Jahren nicht behoben.
(Bild: Valve)
Eine schwerwiegende Sicherheitslücke der Source-Engine besteht seit über zwei Jahren: Über den Bug ist es möglich, mit dem Steam-Einladungssystem Schadcode auf fremde Rechner einzuschleusen. Ein Sicherheitsexperte der White-Hat-Gruppe Secret Club hat den Exploit, der mit dem beliebten Ego-Shooter "Counter-Strike: GO" funktioniert, nun veröffentlicht.
Mögliche Angriffe nutzen das Einladungssystem von Valves Steam-Client aus, das üblicherweise verwendet wird, um Freunde zu Mehrspielerpartien hinzuzufügen: Hacker können Schadcode auf dem Rechner ihres Opfers installieren, wenn diese auf den Link klicken. Für die Betroffenen sieht die vermeintliche Einladung zum Onlinespielen dabei ganz gewöhnlich aus. Das Vorgehen hat der Sicherheitsexperte, der sich auf Twitter "Florian" nennt, dem Technikmagazin Motherboard vorgeführt. Hacker können demnach von einem infizierten Rechner aus weitere manipulierte Einladungslinks an andere Accounts verschicken.
Den Exploit hatte "Florian" bereits 2019 bei Valve gemeldet. Weil er die Source-Engine betrifft, habe er damals bei vielen Spielen funktioniert. In der Zwischenzeit wurde er in mehreren Titeln gefixt, berichtet Motherboard. Ausgerechnet beim überaus beliebten Online-Shooter "Counter-Strike: GO" funktioniert er allerdings noch.
Valve reagiert träge
Eigenen Angaben zufolge hat sich "Florian" zur Veröffentlichung des Exploits entschlossen, um Valve zu einer Lösung zu drängen. Er habe sich entschieden, keine technischen Details zu nennen, um Spielerinnen und Spieler nicht zu gefährden. Valve habe ihm zwar eine Belohnung für das Aufspüren der Sicherheitslücke gezahlt, seine Nachfragen zum Fortschritt der Fehlerlösung allerdings nicht abschließend beantwortet. "Valve hat mich die meiste Zeit ignoriert", sagte "Florian" dem Magazin Motherboard.
Die Source-Engine ist eine Eigenentwicklung von Steam-Betreiber Valve, die bei zahlreichen Titeln von "Half-Life" über "Portal" bis hin zu "Dota" zum Einsatz kommt. Auch unabhängige Entwicklerstudios können die Source-Engine verwenden. Die Natur der Sicherheitslücke bedeutet, dass sie ausschließlich bei online spielbaren Titeln ausgenutzt werden kann. "Counter-Strike: GO" ist zwar mittlerweile fast neun Jahre alt, gehört aber weiterhin zu den meistgespielten Mulitplayer-Games auf Steam. Valve hat sich bisher nicht öffentlich zur Sicherheitslücke geäußert.
(dahe)