Luka umożliwia atak na graczy Origin, według naukowców bezpieczeństwa

Users of Origin, platforma dystrybucji gier Electronic Arts (EA), jest podatna na ataki polegające na zdalnym wykonywaniu kodu poprzez URL pochodzenia: // według dwóch badaczy bezpieczeństwa.

Luigi Auriemma i Donato Ferrante, założyciele maltańskiej firmy doradczej ds. Bezpieczeństwa ReVuln, ujawnili kwestię bezpieczeństwa w zeszłym tygodniu podczas konferencji na konferencji Black Hat Europe 2013 w Amsterdamie.

Luka umożliwia atakującym wykonanie niepożądanego kodu na użytkownikach Origin "komputery, nakłaniając ich do odwiedzenia złośliwej strony lub kliknięcia na specjalnie spreparowany link" - stwierdzili naukowcy. W większości przypadków atak będzie automatyczny i nie będzie wymagał interakcji użytkownika.

[Dalsze informacje: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Opcja wiersza polecenia umożliwia włamanie

Po zainstalowaniu klienta Origin na komputerze rejestruje się jako handler dla linków origin: //, które służą do uruchamiania gier - w tym z opcjami wiersza poleceń - lub do inicjowania innych działań za pośrednictwem klienta.

Niektóre gry mają opcje wiersza poleceń, które zezwolić na ładowanie dodatkowych plików. Na przykład, naukowcy zademonstrowali atak łącza Origin przeciwko nowej grze "Crysis 3", która obsługuje opcję polecenia o nazwie openautomate.

Openautomate to funkcja, która pozwala użytkownikom testować wydajność swojej karty graficznej w "Crysis 3" przy użyciu platformy testowej Nvidia. Po komendzie znajduje się ścieżka do biblioteki DLL (biblioteki dynamicznej), która jest następnie ładowana przez proces "Crysis 3".

Naukowcy znaleźli sposób na spreparowanie origin: // odnośników, które instruują klienta Origin, aby je otworzyć. Crysis 3 "z komendą openautomate, po której następuje ścieżka do szkodliwego pliku DLL hostowanego w sieci lub udziale WebDAV. W adresie URL można zamieścić osobną opcję polecenia, aby "Crysis 3" był otwarty cicho w tle, a użytkownik nie widział żadnych okien.

Atakujący mogliby następnie nakłonić użytkowników do odwiedzenia strony zawierającej fragment kodu JavaScript, który zmusza przeglądarki do otwórz specjalnie spreparowany link.

Kiedy po raz pierwszy otworzy się link: // link w przeglądarce, użytkownicy zostaną zapytani, czy chcą go otworzyć za pomocą klienta Origin, który jest zarejestrowanym programem obsługi dla tego typu URL. Niektóre przeglądarki wyświetlają pełną ścieżkę URL lub jej część, podczas gdy inne przeglądarki nie wyświetlają wcale URL-a, stwierdzili naukowcy.

Monity potwierdzające wyświetlane przez przeglądarki zapewniają użytkownikom opcję zawsze otwartego źródła: / / links z klientem Origin. Większość graczy prawdopodobnie już wybrała tę opcję, aby nie przeszkadzały im dialogi potwierdzające za każdym razem, gdy klikną na link początkowy, co oznacza, że ​​atak będzie dla nich całkowicie przejrzysty, stwierdzili naukowcy.

Podobny do parowego błędu

Luka jest prawie identyczna z tą znalezioną przez tych samych badaczy w ubiegłym roku na platformie dystrybucji gier Valve na platformie Steam. Ta usterka pozwoliła na nadużycie linków parowych: // w ten sam sposób.

Luka w zabezpieczeniach Steam została zgłoszona w październiku 2012 roku, ale nie została jeszcze naprawiona - powiedzieli naukowcy. Naprawienie tego prawdopodobnie wymagałoby znacznych zmian na platformie, ponieważ wynika to z błędu konstrukcyjnego, powiedzieli. Naukowcy nie spodziewają się, że EA rozwiąże kwestię łącza początkowego w najbliższym czasie.

Atak nie ogranicza się do "Crysis 3". Działa również w przypadku innych gier, które mają podobne funkcje wiersza poleceń lub pewne lokalne luki w zabezpieczeniach - stwierdzili naukowcy. Wada ta w istocie stanowi sposób na zdalne wykorzystywanie funkcji lub problemów bezpieczeństwa, które w przeciwnym razie byłyby narażone tylko na ataki lokalne.

Auriemma i Ferrante nigdy nie ujawniają luk w zabezpieczeniach, które znaleźli dla dostawców oprogramowania, których dotyczy problem, więc nie ostrzegali EA o wadzie przed przedstawieniem jej w Black Hat.

Naukowcy opublikowali na swojej stronie internetowej białą księgę, która wyjaśnia problem bardziej szczegółowo i proponuje sposób na złagodzenie ataków. Ograniczenie polega na użyciu specjalistycznego narzędzia o nazwie urlprotocolview w celu wyłączenia adresu URL: origin.

. Efektem ubocznym będzie to, że uruchamianie gier przy użyciu skrótów na pulpicie lub ich plików wykonywalnych przestanie działać. Jednak użytkownicy nadal będą mogli uruchamiać gry z poziomu klienta Origin.