Niebezpieczne luki w plikach gier Blizzarda: Diablo III, Overwatch, Hearthstone, Starcraft II i innych

24 stycznia, 2018

Za zdalne uruchomienie złośliwego kodu na nawet 500 milionach komputerach graczy odpowiada błąd w zabezpieczeniach w usłudze „Blizzard Update Agent” dla Windows. Narzędzie nasłuchuje na porcie 1120/localhost i odpowiada za wykonywanie poleceń instalacji, usuwania, zmiany ustawień, aktualizacji plików oraz innych opcji związanych z naprawą lub rozwiązywaniem problemów z grami Blizzarda.

W jaki sposób atakujący ma dostęp do adresu „localhost”, skoro nie zna publicznego adresu IP gracza? Otóż wcale nie musi (PoC).

$ curl -si hxxp://localhost:1120/agent
HTTP/1.0 200 OK
Content-Length: 359

{
        "pid" : 3140.000000,
        "user_id" : "S-1-5-21-1613814707-140385463-2225822625-1000",
        "user_name" : "S-1-5-21-1613814707-140385463-2225822625-1000",
        "state" : 1004.000000,
        "version" : "2.13.4.5955",
        "region" : "us",
        "type" : "retail",
        "opt_in_feedback" : true,
        "session" : "15409717072196133548",
        "authorization" : "11A87920224BD1FB22AF5F868CA0E789"
}

Adres URL „hxxp://localhost:1120/agent” będzie dostępny dla atakującego bez uwierzytelniania, jeśli gracz nakłoniony socjotechniką odwiedzi złośliwą stronę internetową i z domeny tej zostanie wysłane polecenie zainstalowania złośliwego oprogramowania poprzez agenta Blizzarda. A jakże!

Atak zwany „DNS rebinding” powoduje, że przeglądarka ofiary uruchamia kod JavaScript w kontekście danej strony, pomijając zabezpieczenia Same Origin Policy. Polega to na tym, że przeglądarka odnosi się do adres IP lub domeny podstawionych przez napastnika w sieci lokalnej, jako do domeny należącej do oszusta. W konsekwencji złośliwe skrypty na stronie atakującego mają dostęp do localhosta. W tym przypadku jest to agent Blizzard Update Agent nasłuchujący poleceń na porcie 1120.

Blizzard PoC

Według statystyk Activision z agenta Blizzard Update Agent może korzystać nawet ponad 500 milionów graczy. Skala zagrożenia jest ogromna.

Czy jest aktualizacja? Jest. Blizzard Update Agent w wersji 5996 został po cichu załatany — przedstawiciele firmy, którzy kontaktowali się wcześniej z Tavis’em (odkrywcą luki w zabezpieczeniach) przestali odpowiadać na jego maile. Tavis przejrzał raz jeszcze wersję 5996 i konkludował to tak:

Blizzard are no longer replying to any enquiries, and it looks like in version 5996 the Agent now has been silently patched with a bizarre solution. Their solution appears to be to query the client command line, get the 32-bit FNV-1a string hash of the exename and then check if it’s in a blacklist. I proposed they whitelist Hostnames, but apparently that solution was too elegant and simple. I’m not pleased that Blizzard pushed this patch without notifying me, or consulted me on this.

Wygląda więc na to, że problem jest tylko częściowo naprawiony. Atakujący wciąż ma do dyspozycji pewną „furtkę” w rozwiązaniu, którą zaproponował Blizzard. Graczom pozostaje czekać na agenta Blizzard Update Agent w wersji większej niż 5996.

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]