Một hacker đã tự tạo các chế độ game độc hại cho trò chơi điện tử đấu trường trực tuyến Dota 2 (MOBA). Từ đó, tin tặc có thể khai thác để thiết lập quyền truy cập cửa sau vào hệ thống của người chơi.
Các chế độ trò chơi đã khai thác lỗ hổng nghiêm trọng cao trong công cụ JavaScript V8, có mã định danh CVE-2021-38003 (điểm CVSS: 8,8). Đây là một lỗ hổng zero-day từng được Google xử lý từ tháng 10/2021.
Nhà nghiên cứu Jan Vojtěšek của Avast cho biết: “V8 có thể vượt qua sandbox trong Dota, vì thế mã khai thác của phiên bản này cho phép thực thi mã từ xa đối với những người chơi Dota khác”.
Ngày 12/1/2023, nhà phát hành game Dota đã giải quyết lỗ hổng bằng cách nâng cấp trò chơi lên phiên bản V8.
Các chế độ chơi đã được gỡ xuống khỏi kho lưu trữ Steam bao gồm: test addon plz ignore, Overdog no annoying heroes, Custom Hero Brawl, và Overthrow RTZ Edition X10 XP. Hacker cũng đã xuất bản chế độ chơi thứ năm có tên Brawl in Petah Tiqwa nhưng không đóng gói kèm theo bất kỳ mã độc nào.
Một mã khai thác lỗ hổng V8 được nhúng bên trong “test addon plz ignore” có thể được vũ khí hóa để thực thi mã shell tùy chỉnh.
Ba chế độ chơi còn lại khó tiếp cận hơn nên mã độc được thiết kế kết nối với một máy chủ từ xa để lấy payload JavaScript. Đây cũng có thể là một mã khai thác cho lỗ hổng CVE-2021-38003 vì máy chủ không thể truy cập được nữa.
Trong kịch bản tấn công giả định, người chơi mở một trong các chế độ có thể bị hacker nhắm mục tiêu nhằm chiếm quyền truy cập từ xa vào máy chủ có lỗ hổng và triển khai thêm phần mềm độc hại để khai thác.