Epäonnistuminen mahdollistaa hyökkäyksen alkuperä-pelaajille, tietoturva-tutkijat sanovat

Originaalien käyttäjät, Electronic Artsin (EA) pelin jakeluportaat, ovat alttiita kauko-koodinpurkujen hyökkäyksille alkuperäisen URL-osoitteen perusteella.

Luigi Auriemma ja Donato Ferrante, maltalaisen turvallisuusalan konsulttiyrityksen ReVulnin perustajat, ilmoittivat viime viikolla tietoturvaongelmaan Amsterdamin Amsterdamin Black Hat Europe 2013 -konferenssissa.

Haavoittuvuus mahdollistaa hyökkääjien suorittavan mielivaltaisen koodin alkuperäkäyttäjille "tietokoneita tekemällä heitä vierailemalla haitallisella verkkosivustolla tai napsauttamalla erityistä muotoilua linkkiä, tutkijat sanoivat.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Komentorivivalitsin mahdollistaa tunkeutumisen

Kun Origin-asiakas on asennettu Tietokoneessa se rekisteröi itsensä käsittelijänä alkuperästä: // protokolla-linkit, joita käytetään käynnistämään pelejä - mukaan lukien komentorivivalitsimet - tai käynnistämään muita toimia asiakkaan kautta.

Joillakin peleillä on komentorivivalitsimia, jotka sallia ylimääräisten tiedostojen lataamisen. Esimerkiksi tutkijat osoittivat, että Origin-linkki hyökkäsi uutta Crysis 3 -peliä vastaan, joka tukee openautomate-komentoa.

Openautomaatti on ominaisuus, jonka avulla käyttäjät voivat testata näytönohjaimensa suorituskykyä "Crysis 3" käyttäen Nvidia-vertailukehystä. Komentoa seuraa tie DLL (dynaaminen linkkikirjasto) -tiedostoon, joka sitten latautuu "Crysis 3" -prosessilla.

Tutkijat löysivät keinon alkuperää: // linkit, jotka opastavat alkuperältään asiakkaan avaamaan " Crysis 3 ", jossa openautomate-komento ja polku haitalliseen DLL-tiedostoon, joka on isäntänä verkossa tai WebDAV-osuudessa. URL-osoitteeseen voidaan lisätä erillinen komento, jonka avulla "Crysis 3" avataan hiljaisesti taustalla ilman, että käyttäjät näkevät mitään ikkunoita.

Hyökkääjät voivat sitten houkutella käyttäjiä käymään verkkosivustoa, joka sisältää JavaScript-koodin, joka pakottaa selaimet avaa erikoiskomento.

Kun alkuperää: // linkki aukeaa ensimmäistä kertaa selaimessa, käyttäjiltä kysytään, haluavatko heidät avaamaan sen Origin-asiakasohjelmalla, joka on rekisteröity käsittelijä tämäntyyppiselle käyttäjälle URL-osoite. Jotkut selaimet näyttävät koko URL-polun tai sen osan, kun taas muut selaimet eivät näytä URL-osoitetta lainkaan.

Selaimissa näkyvät vahvistuspyynnöt tarjoavat käyttäjille mahdollisuuden aina avata alkuperä: / / linkit alkuperä-asiakkaan kanssa. Useimmat pelaajat ovat luultavasti jo valinneet tämän vaihtoehdon, jotta he eivät häiritsisi vahvistusikkunoita joka kerta, kun he napsauttavat alkuperäistä linkkiä, mikä tarkoittaa, että heille hyökkäys on täysin läpinäkyvä, tutkijat sanoivat.

Samanlainen kuin Steam-virhe

Haavoittuvuus on melkein sama kuin viime vuonna saman tutkijan löytäneet Valve's Steam -verkkoselostusalustalla. Tämä virhe mahdollisti höyryn väärinkäytön: // protokolla-linkit samalla tavalla.

Steamin haavoittuvuus ilmoitettiin lokakuussa 2012, mutta sitä ei ole vielä korjattu, tutkijat sanoivat. Kiinnittäminen edellyttää luultavasti huomattavia muutoksia alustalle, koska se johtuu suunnitteluvirheestä, he sanoivat. Tutkijat eivät odota, että EA korjaa alkuperälinkkiä milloin tahansa.

Hyökkäys ei rajoitu vain "Crysis 3" -kohtaan. Se toimii myös muille peleille, joilla on samankaltaiset komentorivin ominaisuudet tai jotkut paikalliset haavoittuvuudet, tutkijat sanoivat.

Auriemma ja Ferrante eivät koskaan paljasta haavoittuvuuksia, joita he löytävät asianomaisille ohjelmistotoimittajille, joten he eivät ole varoittaneet EA: ta virheestä ennen kuin se esitellään Black Hatissa.

Tutkijat julkaisivat verkkosivustollaan valkoisen kirjan, joka selvittää asiaa yksityiskohtaisemmin ja ehdottaa tapaa lieventää hyökkäyksiä. Lieventäminen edellyttää erikoistuneen työkalun käyttämistä URL-osoitteella urlprotocolview, jolla poistetaan alkuperä: // URL.

Tämän seurauksena sivuvaikutus on se, että pelien käynnistäminen työpöydän pikavalintojen tai niiden suoritustiedostojen avulla ei enää toimi. Kuitenkin käyttäjät voivat edelleen käynnistää pelit alkuperä-asiakkaan sisällä.