Natychmiast przestań grać w Call of Duty WWII. To nie gra, to trojan

To nie są zwykłe cheaty czy typowe trollowanie w sieci. Mówimy o exploitach Remote Code Execution (RCE) - jednych z najpoważniejszych zagrożeń cyberbezpieczeństwa, które pozwalają atakującym na zdalne wykonywanie kodu na komputerze ofiary. W praktyce oznacza to, że haker może przejąć pełną kontrolę nad waszym PC, jakby siedział przy nim osobiście.

Pierwsze doniesienia o problemach pojawiły się już 2 lipca, zaledwie dwa dni po premierze gry w Game Pass. Sytuacja szybko wymknęła się spod kontroli, gdy popularne osobistości ze świata streamingu zaczęły publikować nagrania pokazujące ataki w czasie rzeczywistym.

Czytaj też:

Streamer Wrioh doświadczył ataku na żywo podczas transmisji. Na jego ekranie pojawił się Notatnik z wiadomością: Marc E Payer just RCE'd your a**, please contact Mitchell Silberberg and Knupp LLC, po czym jego komputer został wyłączony. Inni gracze zgłaszali otwieranie się pornograficznych treści na drugim monitorze, wymuszane restarty systemu czy nawet przejmowanie kontroli nad kamerami internetowymi.

BAMS, twórca z 1,4 mln subskrybentów, ostrzegł swoich fanów: WWII on Game Pass is not safe to play. Podobne ostrzeżenia pojawiły się od dziesiątek innych influencerów, co przyspieszyło rozprzestrzenianie się informacji o zagrożeniu.

Problem tkwi w przestarzałej architekturze sieciowej gry. Call of Duty: WWII nadal korzysta z systemu peer-to-peer, który bezpośrednio łączy komputery graczy ze sobą, ujawniając ich adresy IP i tworząc bezpośrednie kanały komunikacji. W połączeniu z brakiem odpowiednich zabezpieczeń staje się to idealnym środowiskiem dla exploitów RCE.

Atakujący wykorzystują luki w deserializacji danych oraz podatności buffer overflow w ośmioletnim kodzie gry. Kiedy złośliwy kod zostanie wstrzyknięty do komunikacji między graczami aplikacja wykonuje go bez żadnej weryfikacji, dając hakerom pełny dostęp do systemu operacyjnego. Problem dotyczy wyłącznie wersji z Game Pass. Gracze korzystający z wydania Steama nie zgłaszają podobnych przypadków, co sugeruje, że Microsoft wprowadził zmiany w kodzie gry podczas integracji z Game Pass, prawdopodobnie niszcząc istniejące zabezpieczenia.

Szczególnie bulwersujące jest to, że Microsoft aktywnie promuje Call of Duty: WWII na pierwszej stronie PC Game Pass, mimo że doniesienia o atakach napływają od kilku dni. To nie jest przypadek ani niezauważony błąd - firma zna problem, ale priorytetem pozostaje marketing, a nie bezpieczeństwo użytkowników. Sytuacja nie jest nowa dla franczyzy Call of Duty. Starsze tytuły serii od lat są plagą dla cyberbezpieczeństwa. Modern Warfare 2 z 2009 r. został sklasyfikowany jako ekstremalnie niebezpieczny ze względu na liczne exploity RCE.

Firma ograniczyła się do lakonicznego komunikatu o badaniu doniesień, podczas gdy dziś gra została cicho usunięta z PC Game Pass. Żadnych szczegółów, żadnych przeprosin, żadnych gwarancji bezpieczeństwa dla użytkowników, którzy mogli już paść ofiarą ataków.

Microsoft również nie wydał oficjalnego stanowiska w sprawie. Jedyną reakcją było zdjęcie gry z cyfrowych półek - działanie, które można interpretować jako przyznanie się do winy. To jednak stanowczo zbyt mało.