Informationsleck in "Counter-Strike 2": Manipulierte Namen erlaubten IP-Abgriff
Wer seinen Spielernamen in "Counter-Strike 2" zu einem HTML-Tag änderte, konnte mittels eines Webservers die IP-Adressen der Mitspieler abgreifen.
(Bild: Valve)
Der Mehrspieler-Shooter "Counter-Strike 2" hat ein Sicherheitsleck, das seit gestern die Runde auf sozialen Medien macht und Spielern ermöglicht, die IP-Adressen ihrer Kontrahenten herauszufinden. Diese sind normalerweise streng geheim – lediglich die Spielernamen dienen als Erkennungsmerkmal.
Online-Spielserver sind seit jeher beliebte Ziele für Denial-of-Service-Angriffe, um etwa Rache für verlorene Partien zu nehmen oder anderen schlicht den Spaß am Spiel zu verderben. So hatte Blizzard im Frühsommer unter Attacken zu leiden. Üblicherweise sind Gaming-Server für Mehrspieler-Partien jedoch mit einer guten Internetverbindung ausgestattet und resilient gegen Angriffe – die Anbindung einzelner Spieler ist oft erheblich schlechter. Erfährt ein Angreifer die IP-Adresse anderer Spieler in derselben Spielpartie, so kann er diese gezielt mit Datenmüll überziehen, um etwa den stärksten Widersacher aus dem Spiel zu schubsen oder das gesamte gegnerische Team zu verlangsamen.
Umso verwunderlicher, dass bei "Counter-Strike 2" offenbar mit einem sehr simplen Trick genau diese IP-Entschleierung gelang. Ändert ein Steam-Nutzer seinen Namen zu einem HTML-Bildtag der Art <img src="http://x.yz/b.jpg">, so erscheint dieser Code zwar zunächst im Klartext während des Spiels. Sobald der Angreifer jedoch seine Mitspieler zur Abstimmung aufruft, ihn vom Server zu entfernen, wird das HTML von der grafischen Abstimmungsmaske interpretiert und das Bild unter dem URL http://x.yz/b.jpg abgerufen. Kontrolliert der Bösewicht den Webserver unter x.yz, so kann er ganz bequem die IP-Adressen der abstimmenden Spieler aus den Zugriffsstatistiken pflücken. Er erfährt jedoch nicht, welcher Spielername zu welcher IP-Adresse gehört.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Google Ireland Limited) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Möglich wird dieser Angriff durch die als "Panorama UI" bezeichnete Benutzeroberfläche von "Counter-Strike 2". Sie orientiert sich an Web-Entwicklungstechnologien und ist ähnlich implementiert wie ein Rahmenwerk für eine Webseite. Das macht Panorama UI anfällig für Web-Angriffe wie dieses Cross-Site Scripting (XSS).
Patch behebt das HTML-Problem
Valve hat bereits mit einem Update auf die Sicherheitslücke reagiert. Zwar erscheint die Aktualisierung nicht in den Versionshinweisen des beliebten Spiels, jedoch ist der Fehler verschiedenen Berichten zufolge nicht mehr ausnutzbar.
(Bild: heise online / cku)
Tatsächlich ergab ein durch heise Security auf einem eigens eingerichteten dedizierten Counterstrike-2-Server durchgeführter Test, dass bei der Abstimmung zwar das HTML-Tag als Zeichenkette angezeigt, nicht aber ein Bild gerendert wird. Auch zeigte die parallel mitlaufende Analyse der Zugriffsprotokolle auf dem Webserver keine Zugriffe auf das verlinkte Bild.
"Counter-Strike" hat sich von einem Mod für "Half-Life" zu einem globalen Phänomen entwickelt, das maßgeblichen Anteil an der Entwicklung des E-Sports hatte. Immer wieder machte das Spiel jedoch durch Probleme mit Störern, Radikalisierung und die eine oder andere Sicherheitslücke von sich reden.
Wir haben einen eigenen Test durchgeführt, um den Bugfix zu verifizieren. Es scheint, als sei die Sicherheitslücke gestopft.
(cku)
