No final de semana, os desenvolvedores da série de jogos Dark Souls relataram que os servidores de PC de Dark Souls: Remasterizado, Almas escuras 2, Almas escuras 3 e Almas Negras: Os PtDE estão temporariamente desativados devido a uma perigosa vulnerabilidade RCE que permite assumir remotamente o controle da máquina de outra pessoa.
Um dos primeiros a relatar o problema foi Dexerto, que dizia que uma exploração desta vulnerabilidade foi demonstrada ao público em geral durante uma transmissão do Twitch.
Streamer The__Grim__Sleeper estava jogando Dark Souls 3, e já no final do stream (1:20:22) algo incompreensível começou a acontecer com seu computador. Inicialmente, o jogo travou repetidamente, e de repente a conversão automática de texto em fala da Microsoft foi ativada, e a voz sintetizada começou a criticar a jogabilidade do streamer.
The__Grim__Sleeper ficou muito surpreso e relatou que o Microsoft PowerShell abriu sozinho, aquilo é, o hacker o usou para executar um script que ativou a função de conversão de texto em fala.
Aparentemente, o streamer não foi apenas vítima de um troll aleatório. De acordo com um captura de tela de Discord SpeedSouls, o hacker descobriu a vulnerabilidade há algum tempo e tentou entrar em contato com os desenvolvedores da FromSoftware sobre isso, mas foi ignorado, então ele começou a hackear streamers na tentativa de chamar a atenção para o problema.
De acordo com uma postagem em Reddit, o anti-cheat Blue Sentinel, desenvolvido pelos fãs do jogo, já foi atualizado e é capaz de impedir a exploração da vulnerabilidade. A mesma postagem argumenta que os rumores que circulam na rede sobre o vazamento do exploit são mentiras, porque apenas quatro pessoas sabiam como explorar esta vulnerabilidade, dois dos quais foram os desenvolvedores do Blue Sentinel, e os outros dois eram pessoas que ajudaram “trabalhe nisso”. Provavelmente, estamos falando daqueles que inicialmente descobriram o bug.
Os desenvolvedores e representantes da Bandai Namco, a editora de Dark Souls, ainda não anunciaram por quanto tempo os servidores do jogo ficarão inativos, mas está claro que o trabalho já está em andamento para corrigir a vulnerabilidade. Separadamente, ressalta-se que o desligamento não se aplica a servidores PvP, bem como servidores para Xbox e PlayStation.
Deixe-me lembrá-lo que informamos que A Valve não conseguiu corrigir uma vulnerabilidade RCE no mecanismo Source por um longo tempo, e também isso A Tencent e a polícia chinesa conduziram uma operação conjunta contra desenvolvedores de cheats de jogos.
