Dos investigadores en videojuegos descubrieron gran cantidad de vulnerabilidades de día cero en los motores que ejecutan juegos populares de tiro en primera persona, como “Quake 4”, “Monday Night Combat”, “Crysis 2” y “Homefront” entre otros, éstos podrían poner a sus servidores y jugadores en peligro.

Los fallos se encuentran en motores como Unreal Engine 3, id Tech4 y CryEngine 3, algunos de los cuales son empleados por el Buró Federal de Investigaciones (FBI) y las fuerzas aéreas de EUA para simulaciones militares en sistemas de entrenamiento.

Luigi Auriemma y Donato Ferrante, dos investigadores detrás de la firma ReVuln Security, con sede en Malta, discutieron sus hallazgos en la presentación “Explotar motores de juegos por beneficio y diversión” (PDF) en la conferencia NoSuchCon, en Paris.

Las vulnerabilidades pueden usarse para atacar los servidores a través de los juegos de los clientes, de acuerdo con las investigaciones del duo.

En un caso un atacante potencial pudo falsear la IP del servidor para Tech 4 (el motor asociado a Quake 4) para disparar un desbordamiento de buffer en el juego. En otro, un atacante puede hacer que el motor CryEngine 3 maneje incorrectamente “paquetes fragmentados” lo cual puede resultar en desbordamiento de pila o en la vulnerabilidad de desbordamiento de enteros.

Docenas de juegos adicionales a los mencionados pueden ser afectados por las vulnerabilidades, ya que múltiples juegos emplean los mismos motores.

"Es cuestión de cuantos juegos comparten el mismo motor" dijeron ambos en la presentación, "cualquier atacante puede explotarlos sin tener interacción con los usuarios o requerimientos adicionales".

Auriemma y Ferrante probaron ser muy hábiles para encontrar errores en sistemas de juegos en los últimos 5 años. Encontraron problemas de corrupción de memoria, desbordamientos de buffer y pila en el portal de juegos en línea Steam el octubre pasado y en este año, encontraron un fallo en el cliente de origen de EA, lo que abre el sitio a la ejecución de código remoto y pone en riesgo las computadoras de los usuarios.

Como usualmente se hace con los exploits, los dos colocaron una copia del PDF en su presentación PPS y subieron un video a Vimeo, describiendo detalladamente las vulnerabilidades. El video demuestra los exploits contra los servidores maestros de Crysis 2 y Quake 4:

Auriermma y Ferrante planean vender la información sobre las vulnerabilidades (todas las que previamente no fueron descubiertas) a compañías de terceros mediante la suscripción al servicio de "retroalimentación de día cero".

Para más información sobre su investigación, revisa el documento que acompaña a “Motores de Juego: un cuento de día cero” (PDF) publicado por ReVuln, que complementa con secuencias de código que analiza las vulnerabilidades que afectan a cada juego.