Com uma vulnerabilidade de mais de uma década, o cliente do MMORPG AION se mostra suscetível à execução remota de código (RCE) por meio de um sistema de scripting do jogo, permitindo que invasores executem códigos maliciosos no computador de outros players. A descoberta, detalhada em uma análise de segurança, expõe falhas no antigo sistema de habitação do título, que apesar de removido em sua versão Classic, ainda é presente em servidores privados.
A descoberta da vulnerabilidade do sistema de habitação de AION
A vulnerabilidade foi encontrada por um pesquisador de segurança ao explorar um servidor privado do jogo. A brecha reside no sistema de habitação de AION, introduzido na versão 3.0 em 2011, que permitia aos jogadores personalizarem suas casas com móveis e, de forma mais crucial, por meio de um editor de scripts acessível pelo NPC mordomo.
O sistema foi concebido para que os players pudessem criar scripts simples, como reproduzir sons ou automatizar ações dentro de suas propriedades. No entanto, a falta de documentação do editor fez com que o pesquisador, o himazawa, tivesse que explorar o sistema por tentativa e erro. Ele descobriu que o ambiente de script, baseado em uma versão do Lua, era surpreendentemente pouco seguro.
Como o sistema de scripting do AION se tornou uma ameaça
O pesquisador de segurança notou que, apesar de ser um ambiente de testes fechado, o sistema de script do AION permitia acesso a uma série de funções perigosas. Ele inicialmente usou uma função do mordomo para emitir textos no chat e enumerar as funções acessíveis, revelando um ambiente de testes de Lua mal configurado. A análise demonstrou que as funções loadstring(), loadfile() e load() estavam ativas, que, em versões antigas do Lua, podem ser usadas para comprometer a segurança da memória.
Embora um anti-cheat estivesse presente, os devs não desativaram o pacote io, que inclui a função io.popen(), usada para executar processos externos. Com essa falha, o pesquisador conseguiu executar o programa calc.exe no computador do player, confirmando a possibilidade de executar código arbitrário.
O impacto da vulnerabilidade e a situação nos servidores privados
A vulnerabilidade é particularmente preocupante para a cena de servidores privados. Nesses ambientes, os scripts da casa de um jogador são enviados diretamente para o cliente de outros players que interagem com o mordomo. Além disso, a falha pode ser explorada de forma autônoma, sem necessidade de interação, usando a função OnInit(), que carrega scripts automaticamente quando um jogador entra na casa de outro.
Essa situação demonstra que muitos servidores privados de AION, que ainda utilizam versões do jogo entre a 3.0 e 4.8, estão suscetíveis a essa brecha. Embora a versão oficial Retail do jogo ainda mantenha o sistema de habitação, o mesmo código de exploração não funcionou, indicando que a NCSoft pode ter corrigido a falha ao longo dos anos. No entanto, para a comunidade de servidores privados, o perigo de ter sua máquina invadida ao visitar a casa de um player mal-intencionado ainda é real.
A vulnerabilidade de 10 anos que assombra o cliente do AION
A descoberta da falha de RCE no cliente de AION é um lembrete vívido de como funcionalidades antigas em jogos online podem esconder vulnerabilidades sérias. Implementada há mais de uma década, a funcionalidade de script do sistema de habitação se mostrou uma porta de entrada para a execução de código, com uma solução surprisingly simple para os invasores. Embora a NCSoft possa ter mitigado o problema na versão mais recente, a maioria dos servidores privados, que opera em versões mais antigas do título, permanece vulnerável. O player que navega por essas comunidades deve estar ciente do risco de que a visita a uma casa virtual pode resultar em um comprometimento de seu sistema. A situação serve como um alerta para desenvolvedores de jogos e administradores de servidores sobre a importância de revisitar e auditar funcionalidades legadas, especialmente aquelas que lidam com a execução de código, para garantir a segurança dos usuários. A pesquisa mostra que, mesmo em títulos mais velhos, o conhecimento em cibersegurança e a exploração de binários podem revelar falhas criativas, e que os atacantes não precisam necessariamente de ferramentas complexas para burlar sistemas de proteção, já que, nesse caso, a falha era uma “característica” do próprio jogo. A comunidade de servidores privados precisa de atenção, e os devs desses projetos devem se inspirar no trabalho de segurança para proteger a base de jogadores, uma vez que a falha permite que o código malicioso seja executado de forma automática, apenas por entrar na casa de outro player.
Conclusão sobre a Notícia
A descoberta de uma vulnerabilidade de RCE no AION, um MMORPG icônico da NCSoft, destaca a importância da segurança em jogos online, mesmo em títulos com mais de uma década. A falha, localizada no sistema de habitação introduzido em 2011, permitiu que um pesquisador de segurança executasse código remotamente no cliente de outros jogadores através de um sistema de scripting do jogo. Essa vulnerabilidade, que se aproveita de um ambiente de script Lua mal configurado, é particularmente relevante para a comunidade de servidores privados, que ainda utiliza versões antigas do AION e, portanto, permanece suscetível ao problema. A situação serve como um aviso para os administradores desses servidores sobre a necessidade de auditar e corrigir funcionalidades legadas, já que a simples visita à casa de outro player pode se tornar um vetor de ataque. Essa análise aprofundada não só revela uma falha crítica, mas também ressalta a importância da pesquisa de segurança para proteger a integridade da experiência de jogo e a segurança dos usuários. A comunidade de MMORPGs, especialmente a de servidores privados, enfrenta um desafio contínuo em manter a segurança enquanto preserva a nostalgia de versões passadas. Você pode conferir mais detalhes sobre esse assunto aqui.
