Após uma rápida liberação, Call of Duty: WWII foi removido do Xbox PC Game Pass, em decorrência de uma vulnerabilidade de execução remota de código (RCE) que colocou em risco os dados dos jogadores. O jogo, distribuído via Microsoft Store, permanece disponível em plataformas como Steam e Battle.net, mas a recomendação é que os usuários fiquem atentos e cautelosos.
O exploit de RCE possibilita a um atacante rodar códigos maliciosos remotamente no computador da vítima. Como explica a empresa de cibersegurança Invicti, "o termo remoto indica que o atacante pode atuar a partir de um local diferente do sistema em questão". Este tipo de vulnerabilidade não se restringe a trapaças dentro do jogo; trata-se de falhas sérias que podem ser utilizadas para instalação de malware, roubo de dados, entre outros problemas de segurança.
Um streamer conhecido como Wrioh compartilhou um vídeo no X (Twitter) onde se observa Call of Duty: WWII travando durante uma partida, seguido de janelas de comandos suspeitas surgindo na tela. Logo após, a imagem de fundo do desktop muda para o rosto de um advogado, enquanto outro usuário, @LasagneManne, postou uma captura de tela de uma ferramenta de trapaça que incluía uma opção de RCE entre suas funcionalidades.
A organização VX-Underground, famosa por compartilhar pesquisas sobre malware, confirmou a ocorrência de abusos relacionados ao RCE. Em um post no X, eles relataram: "Alguém está provocando jogadores com pop-ups do Notepad, desligamentos de PC e pornografia gay". Um administrador da VX-Underground, conhecido como "Smelly", detalhou os possíveis eventos que levaram ao vídeo viral.
No texto, ele descreveu que um exploit RCE é uma forma de atacar um computador permitindo que o criminoso envie um código malicioso para um alvo remoto. Muitas vezes, esses exploits possuem limitações de privilégios, que variam dependendo se o aplicativo é executado como usuário ou administrador. Ele destacou que esse problema afeta apenas a versão de PC do jogo, uma vez que o sistema operacional do Xbox é mais restrito, embora utilize o mesmo núcleo do Windows.
Uma das causas que permitiriam que atacantes conseguissem os endereços IP dos jogadores se dá pelo networking desatualizado que Call of Duty: WWII ainda utiliza, que é o sistema peer-to-peer (P2P). Ao contrário de títulos mais modernos que contam com servidores dedicados, este método expõe os IPs dos jogadores para outros participantes na mesma sala, sendo uma característica comum dos títulos mais antigos da franquia.
No vídeo de Wrioh, uma janela de comando parece mostrar o download de um arquivo utilizando a ferramenta de linha de comando cURL. Logo depois, uma segunda janela do CMD abre o Notepad para exibir um arquivo .txt, que provavelmente é o arquivo baixado. Depois que o jogo trava ou é fechado, a imagem de fundo do desktop muda, indicando que o invasor foi capaz de baixar um script malicioso e executá-lo por meio do CMD.
"Vale ressaltar que a mudança da imagem de fundo do desktop é um pouco mais complexa, o que ilustra que o atacante é capaz de baixar um script malicioso e executá-lo”, explicou Smelly. O que mais preocupa é que, se os atacantes conseguirem privilégios administrativos, eles poderão instalar malwares como stealer de informações, RATs (ferramentas de administração remota) ou ransomware.
Antes que o pânico se instale, Smelly enfatizou que o atacante parece estar mais interessado em fazer piadas e transtornar pessoas do que em comprometer seriamente seus sistemas. A imagem de fundo em questão retrata um advogado famoso contratado pela Activision para processar desenvolvedores de cheats, sugerindo que essa falha pode ser tanto uma declaração quanto uma mera trollagem.
A Activision, por sua vez, ainda não confirmou oficialmente a existência do exploit RCE. Em uma breve declaração, a empresa afirmou que a versão de PC de Call of Duty: WWII foi "retirada do ar" enquanto investigam "um problema". Por ora, a versão do jogo na Microsoft Store foi removida da lista, e os jogadores afetados são aconselhados a não iniciar o jogo até que novas informações sejam divulgadas.