Offenbar sind Counter-Strike: Global Offensive (CS:GO) und andere Spiele, die mit Valves Source Engine umgesetzt werden, von einem schweren Sicherheitsleck betroffen. Das sagt jedenfalls das Hacker-Kollektiv "Secret Club", das sich auf das nicht-kommerzielle Reverse-Engineeren von Software spezialisiert hat.

Vor zwei Jahren habe man Hersteller Valve darüber in Kenntnis gesetzt, dass es aufgrund eines Lecks möglich sei, per Steam Invite an die Daten anderer Spieler zu kommen. Anfällig seien alle Source-Games. Bis heute habe das Unternehmen das Leck aber weder beseitigt, noch offiziell anerkannt. Stattdessen, so die Hacker weiter, habe Valve – mit nicht näher genannten Mitteln – die Gruppierung daran gehindert, öffentlich über ihre Entdeckung zu sprechen.

Es handelt sich um eine sogenannte "Remote Code Execution"-Schwachstelle, Angreifer können also in die Lage kommen, Code auf dem System ihrer Opfer ausführen zu lassen. Im schlimmsten Fall könnte also aus dem Steam Invite ein Angriff auf das komplette System werden und nicht nur auf Steam bzw. die zum jeweiligen Game gehörenden Daten.

Mehrere Demonstrationen, keine Reaktion

Mitglieder des Teams hätten Valve vor einigen Monaten auch zwei Demonstrationen für solche Angriffe auf CS:GO gezeigt. Ein Angreifer kann laut Secret Club auch einen Community-Server für das Spiel aufsperren und alle Spieler, die sich in die Lobby verbinden, mit einem Skript angreift, das nicht nur ihre Skins und Passwörter klaut, sondern auch Malware auf ihren Rechner verfrachten kann.

In der öffentlichen Sicherheitsleck-Datenbank CVE hat die Schwachstelle mittlerweile einen eigenen Eintrag erhalten. Valve hat sich zur Lücke und den Anschuldigungen seitens Secret Club noch nicht geäußert. (gpi, 12.4.2021)