Mit notorisch schweren Kämpfen und bizarr-düsterer Atmosphäre hat die "Dark Souls"-Reihe eine große Anhängerschaft gewonnen. Das Konzept erwies sich als so erfolgreich, dass nach ihr mittlerweile sogar ein ganzes Subgenre ("Soulslike") an Videospielen benannt ist. Und als ob die Auseinandersetzungen mit den Bossgegnern nicht so schon herausfordernd genug wären, kann man auch andere Spieler beitreten lassen, die einem entweder helfen oder in den Rücken fallen. Es ist wohl eines der seltenen Fällen, in denen sogenanntes "Griefing" zu einem legitimen Teil des Spielkonzeptes gemacht wurde.

Böswillige Teilnehmer können dabei aber viel weiter gehen, als wohl auch From Software lieb sein dürfte, berichten die Sicherheitsexperten von Dexerto. Andere Spieler können sich nicht nur auf die Seite der monströsen Feinde im Spiel schlagen. Sondern eine schwere Sicherheitslücke in der PC-Version von "Dark Souls 3" bietet ihnen gar eine Chance, sich die Kontrolle über das ganze System einzuverleiben.

Angriff auf Streamer

Die Folgen dieser Lücke musste der Streamer "The Grim Sleeper" bei laufender Aufnahme erfahren (zu sehen kurz nach 1:20 Stunden). Sein Spiel stürzte plötzlich ab, kurz danach wurde von seinem Windows-System ein Text vorgelesen, der seinen Spielstil kritisierte. Laut dem Streamer war ohne sein Zutun ein Powershell-Script ausgeführt worden.

Der Angreifer dürfte es zu seinem Glück dabei noch gut gemeint haben. Wie ein mutmaßlicher Kontakt der verantwortlichen Person auf einem Server auf der Kommunikationsplattform Discord zu Protokoll gab, hat der Hacker ein Leck im Dark Souls 3-Multiplayersystem gefunden, das die Ausführung von Code auf den Rechnern anderer Teilnehmer ermöglicht. Man spricht hier auch von einer Remote Code Execution (RCE), einem sehr schwerwiegenden Sicherheitsproblem.

Der Entdecker soll daraufhin versucht haben, in Kontakt mit From Software zu treten, um die Entwickler über das Problem in Kenntnis zu setzen. Die japanische Spieleschmiede habe aber nicht auf ihn reagiert, obwohl er es über mehrere Kanäle versucht hatte. Um Aufmerksamkeit auf die Schwachstelle aufmerksam zu machen, entschied er sich schließlich für eine Live-Demonstration mit einem Angriff auf den Streamer.

Andere From-Software-Games potenziell auch betroffen

Die Informationen über das Leck soll der Hacker zu diesem Zeitpunkt an niemanden anderen weiter gegeben haben. Mittlerweile gibt es weitere "Mitwisser", bei denen es sich allerdings um Entwickler für "Blue Sentinel" handelt. Dabei handelt es sich um eine von der Spielergemeinde selbst entwickelte Anticheat-Lösung, die nun Schutz vor dem RCE-Exploit bietet.

Bandai Namco, der Publisher für From Software-Games, hat mittlerweile erklärt, dass man "relevante, interne Teams" über das Sicherheitsproblem informiert habe. Sicherheitsexperten raten dazu, die Multiplayer-Funktion von "Dark Souls 3" abzudrehen, bis ein Patch verfügbar ist – oder zumindest Blue Sentinel zu installieren.

Das gilt auch für Spieler der älteren Teile. Denn es wird vermutet, dass auch die ersten beiden "Dark Souls"-Games von diesem Leck betroffen sind. Möglicherweise gilt das auch für From Softwares nächstes Game, "Elden Ring". Der von vielen sehnlich erwartete Titel soll am 25. Februar auf den Markt kommen. Je nach Produktionsstatus könnten die Entwickler die Schwachstelle also noch ausmerzen oder zumindest einen Day-1-Patch vorbereiten. (gpi, 23.1.22)