Schwere Sicherheitslücke in Bandai Namcos DARK SOULS

Nach Berich­ten in nam­haf­ten Online-Medi­en wie The Ver­ge gibt es unter Win­dows eine schwe­re Sicher­heits­lü­cke in Ban­dai Nam­cos Spiel DARK SOULS 3, aber offen­bar auch in DARK SOULS 1, 2 und Remas­ter sowie das von Fans hän­de­rin­gend erwar­te­te, dem­nächst erschei­nen­de ELDEN RING (das auf der­sel­ben Game Engi­ne basiert), die es Angrei­fern via Remo­te Code Exe­cu­ti­on ermög­licht auf den Com­pu­tern des Spie­len­den belie­bi­ge Soft­ware aus­zu­füh­ren.

Auf­ge­fal­len war das wäh­rend einer Live­stream-Ses­si­on von The_​_​Grim_​_​Sleeper, an deren Ende das Spiel abstürz­te und eine Stim­me unter Nut­zung von Micro­softs Text-Zu-Spra­che-Funk­tio­nen die Spiel­wei­se des Strea­mers kri­ti­sier­te, danach öff­ne­te sich die Micro­soft power Shell.

Dem Ver­neh­men nach sei das aller­dings kein bös­ar­ti­ger Hack gewe­sen, der Hacker hat­te die Sicher­heits­lü­cke bemerkt und dann offen­bar ver­geb­lich ver­sucht, Ban­dai Nam­co und den Spie­le­ent­wic­ler From Soft­ware zu infor­mie­ren, dort war er voll­stän­dig igno­riert wor­den. Angeb­lich ist nur weni­gen Per­so­nen bekannt, wie der Sicher­heits­lü­cke genutzt wer­den kann, ich hal­te das für eine frag­wür­di­ge Aus­sa­ge, denn jetzt wo die Kat­ze aus dem Sack ist, wer­den sich sicher­lich hau­fen­wei­se zwie­lich­ti­ge Gestal­ten dar­auf stür­zen.

Das Pro­blem tritt nur auf, wenn man online spielt, Ban­dai Nam­co hat inzwi­schen nach der ultraschlech­ten PR die PvP-Ser­ver abge­schal­tet, laut einem offi­zi­el­len Bei­trag auf Red­dit arbei­ten die Ent­wick­ler an einer Lösung, hal­ten sich aller­dings zu Details über­aus bedeckt.

Die Com­mu­ni­ty des Spiels hat ein bereits exis­tie­ren­des Anti-Cheat-Mod namens Blue Sen­ti­nel über­ar­bei­tet und eine neue Ver­si­on released, die angeb­lich gegen die Lücke hel­fen soll.

Bis auf wei­te­res soll man die Games von From Soft­ware nur off­line spie­len, Kon­so­len­spie­ler auf XBox und Play­sta­ti­on sind den Mel­dun­gen zufol­ge nicht betrof­fen, für die sind auch die Ser­ver wei­ter­hin online.

Mit­tels Remo­te Code Exe­cu­ti­on (auch: Arbi­tra­ry Code Exe­cu­ti­on) kön­nen Angrei­fer einen PC voll­stän­dig über­neh­men und dort belie­bi­ge Pro­gram­me fern­ge­steu­ert aus­füh­ren.

Der Fall zeigt erneut das Pro­blem, dass nam­haf­te Fir­men, nicht nur aus der Spie­le­bran­che, Hin­wei­se auf Sicher­heits­lü­cken voll­stän­dig igno­rie­ren, was dann nicht nur zu einem PR-Desas­ter, son­dern auch zu erheb­li­chen Gefah­ren für die Soft­ware­nut­zer führt. Mei­ner Ansicht nach sind die exis­tie­ren­den Geset­ze für sol­che Fäl­le nach wie vor viel zu lax, auch wenn sich die Situa­ti­on der Nut­zer in Deutsch­land bei Soft­ware (und damit auch Spie­len) auf­grund der seit dem 01. Janu­ar 2022 geän­der­ten Gewähr­leis­tungs­ge­setz­ge­bung mini­mal ver­bes­sert hat.

Pro­mo­gra­fik DARK SOULS 3 Copy­right Ban­dai Nam­co