Flaw, Origin oyuncularına saldırıya izin veriyor, güvenlik araştırmacıları

Electronic Arts'ın (EA) oyun dağıtım platformu, uzaktan kod çalıştırma saldırılarına karşı, köken: // URL'ler aracılığıyla savunmasızdır.

Malta merkezli güvenlik danışmanlığı şirketi ReVuln'un kurucuları olan Luigi Auriemma ve Donato Ferrante, geçtiğimiz hafta Amsterdam'daki Black Hat Europe 2013 konferansında yaptığı konuşmada güvenlik konusunu açıkladı.

Güvenlik açığı saldırganların Origin kullanıcılarına rasgele kod çalıştırmalarına izin veriyor Araştırmacılar, "bilgisayarları kötü amaçlı bir web sitesini ziyaret etmek veya özel hazırlanmış bir bağlantıyı tıklamakla kandırmakla" dedi. Çoğu durumda saldırı otomatik olacak ve kullanıcı etkileşimi gerektirmeyecek, dediler.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Komut satırı seçeneği izinsiz girişe izin verir

Origin istemcisi yüklendiğinde Bilgisayarda, komut satırı seçenekleriyle oyunlar dahil olmak üzere veya istemci aracılığıyla diğer eylemleri başlatmak için kullanılan origin: // protokolü bağlantıları için kendini işleyici olarak kaydeder.

Bazı oyunlar komut satırı seçeneklerine sahiptir. ek dosyaların yüklenmesine izin ver. Örneğin, araştırmacılar Openautomate adlı bir komut seçeneğini destekleyen yeni "Crysis 3" oyununa karşı Origin link saldırısını gösterdi.

Openautomate, kullanıcıların grafik kartlarının performansını "Crysis 3" te test etmelerini sağlayan bir özelliktir. Nvidia kriter çerçevesini kullanarak. Komutu, daha sonra "Crysis 3" işlemiyle yüklenen bir DLL (dinamik bağlantı kitaplığı) dosyasının yolu izler.

Araştırmacılar, kökeni üretmenin bir yolunu buldu: // Origin istemcisini açmasını bildiren bağlantılar Crysis 3 "openautomate komutuyla bir ağda veya WebDAV paylaşımında barındırılan kötü amaçlı bir DLL dosyasının yolunu izler. Herhangi bir pencereyi görmeden "Crysis 3" ü arka planda sessizce açmak için URL'ye ayrı bir komut seçeneği eklenebilir.

Saldırganlar, kullanıcıları tarayıcılarını zorlayan bir JavaScript kodu parçası içeren bir web sitesini ziyaret etmelerini sağlayabilir. Özel olarak hazırlanmış bağlantıyı açın.

Bir tarayıcıda ilk defa bir kaynak: // linki açıldığında, kullanıcılara bu tür için kayıtlı işleyici olan Origin istemcisi ile açmak isteyip istemedikleri sorulur. URL. Bazı tarayıcılar tam URL yolunu veya bir bölümünü gösterecek, diğer tarayıcılar URL’yi hiç göstermeyecek, araştırmacılar dedi.

Tarayıcıların görüntülediği onay mesajları kullanıcılara her zaman menşe açma seçeneği sunuyor: / / Origin istemcisi ile bağlantılar. Çoğu oyuncu muhtemelen bu seçeneği zaten seçmişlerdir, bu yüzden bir kaynak bağlantıya her tıkladığında onay diyalogları ile rahatsız edilmezler, yani onlar için saldırının tamamen şeffaf olacağı anlamına gelir, araştırmacılar şöyle dedi:

Buhar kusuruna benzer.

Güvenlik açığı, geçen yıl Valve'in Steam online oyun dağıtım platformunda aynı araştırmacı tarafından bulunanla neredeyse aynı. Bu kusur, buhar: // protokol bağlantılarının aynı şekilde kullanılmasına izin verdi.

Buhar güvenlik açığı Ekim 2012'de rapor edildi ancak henüz düzeltilmemesi gerektiğini belirtti. Sabitlemenin, muhtemelen bir tasarım kusurundan kaynaklandığı için, platformda önemli değişiklikler yapılmasını gerektireceklerini söylediler. Araştırmacılar EA'nın kaynak bağlantı sorununu kısa sürede düzeltmesini beklemiyorlar.

Saldırı "Crysis 3" ile sınırlı değil. Araştırmacılar, benzer komut satırı özelliklerine veya bazı yerel güvenlik açıklarına sahip diğer oyunlar için de çalışıyor. Kusur, esas olarak, yalnızca yerel saldırılara maruz kalabilecek özellikleri veya güvenlik sorunlarını kötüye kullanmanın bir yolunu sunuyor, dediler.

Auriemma ve Ferrante, etkilenen yazılım satıcılarına bu güvenlik açıklarını asla açıklamıyorlar, böylece EA'yı uyarmadılar. Black Hat'ta sunmadan önce kusur hakkında.

Araştırmacılar, web sitesinde, konuyu daha ayrıntılı olarak açıklayan ve saldırıları hafifletmek için bir yol öneren bir rapor yayımladılar. Etki azaltma, urlprotocolview adı verilen özel bir aracın kullanılmasını içerir: // URL.

Bunu yapmanın yan etkisi, masaüstü kısayollarını kullanan oyunların başlatılmasının veya yürütülebilir dosyalarının artık çalışmayacağı olacaktır. Bununla birlikte, kullanıcılar Origin istemcisinden oyunları başlatabilecekler.