Server offline: In „Call of Duty WW2“ lauert ein RCE-Exploit

In der Windows-Version des Shooters „Call of Duty WW2“ lauert offenbar eine schwere Sicherheitslücke. Wie mehrere Spieler mittels Videoaufzeichnung zeigten, scheinen Unbekannte einen Weg gefunden zu haben, Schadcode auf den Windows-PCs ihrer Mitspieler auszuführen. Betroffen ist wohl die in Microsofts Game Pass enthaltene Version des 2017 erschienenen Shooters. Onlinespiele sind nicht mehr möglich, das weitere Vorgehen unklar.

Kurze Videos zeigen, wie eine blutige Spielszene vor Weltkriegskulisse plötzlich pausiert und zwei Fenster auf dem Bildschirm erscheinen: Zuerst die typische Transferanzeige des Kommandozeilen-Downloadprogramms cURL, wenige Sekunden später ein weiteres Kommandozeilenfenster und dann der Windows-Editor Notepad: „Marc E Mayer just RCEd your ass please contact Mitchell Silberberg and Knupp LLP“, besagt die Botschaft des mutmaßlichen Angreifers auf dem PC des Opfers.

RCE steht für „Remote Code Execution“, also Codeausführung aus der Ferne. Und genau das ist hier offenbar passiert: Über eine im Spielclient enthaltene Sicherheitslücke konnte ein Spieler offenbar Schadcode auf den PC seines Mitspielers schleusen. Die kurze Botschaft ist möglicherweise eine Protestnote an Activisions Adresse. Bei „Mitchell Silberberg & Knupp LLP“ handelt es sich um eine US-Anwaltskanzlei, die Activision in der Vergangenheit vertreten hat – und zwar unter anderem gegen den deutschen Cheat-Anbieter EngineOwning. Marc E. Mayer ist ein Partner jener Kanzlei, der Activision in vielerlei juristischen Auseinandersetzungen gegen Bot-Hersteller, Anbieter privater Multiplayer-Server und Konkurrenzunternehmen repräsentierte.

Microsoft und Activision haben mehreren Berichten zufolge, unter anderem bei Rock Paper Shotgun, die Server offline genommen. Wir haben das getestet und konnten das Spiel installieren und starten – der Versuch, einer Online-Partie beizutreten, blieb jedoch ebenso erfolglos wie der Versuch, ein lokales Match zu starten. Auch eine Anfrage bei der Microsoft-Pressestelle blieb kurzfristig unbeantwortet. Wir werden diese Meldung gegebenenfalls aktualisieren.

Klassiker mit gut abgehangener CoDebasis

Ob Activision vor der Wiederveröffentlichung noch Aktualisierungen und Fehlerbehebungen bei „COD:WW2“ vorgenommen hat, ist unklar. Somit ist nicht auszuschließen, dass auch andere Versionen des acht Jahre alten Spiels betroffen sind. Die Codebasis scheint gut abgehangen, denn das letzte Update für die herkömmliche PC-Version außerhalb des Microsoft-Pauschalangebots erschien offenbar im Jahr 2018. Das verrät eine Archivkopie der entsprechenden Activision-Produktseite. Das dort erwähnte „Attack of the Undead Community Event“ fand im Mai 2018 statt.

Kürzlich wandte sich ein Games-Lobbyverband, dem auch Microsoft angehört, gegen eine Petition zur Erhaltung von Spielen – die geforderte Nachhaltigkeit mache Spiele unwirtschaftlich. Die Lobbyisten führen unter anderem die Haftbarkeit für illegale Inhalte an. Dennoch sah Activision offenbar keine Probleme darin, ein fehlerhaftes Spiel erneut auf die Spielerschaft loszulassen.

(cku)