Flaw позволяет атаковать игроков Origin, говорят исследователи безопасности

Пользователи Origin, платформа распространения игр Electronic Arts (EA), уязвимы для удаленных атак с помощью URL-адреса происхождения: //, по словам двух исследователей безопасности.

Луиджи Ауриемма и Донато Ферранте, основатели консалтинговой фирмы ReVuln по вопросам безопасности на Мальте, рассказали о проблеме безопасности на прошлой неделе во время разговора на конференции Black Hat Europe 2013 в Амстердаме.

Уязвимость позволяет злоумышленникам выполнять произвольный код для пользователей Origin исследователи сказали, что «компьютеры, обманывая их, посещают вредоносный сайт или нажимают на специально созданную ссылку. В большинстве случаев атака будет автоматической и не требует взаимодействия с пользователем.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

Опция командной строки позволяет вторжение

Когда установлен клиент Origin на компьютере он регистрируется как обработчик для ссылок: // протокола, которые используются для запуска игр, в том числе с параметрами командной строки, или для инициирования других действий через клиента.

В некоторых играх есть параметры командной строки, которые позволяют загружать дополнительные файлы. Например, исследователи продемонстрировали атаку Origin link против новой игры «Crysis 3», которая поддерживает командную опцию openautomate.

Openautomate - это функция, которая позволяет пользователям тестировать производительность своей видеокарты в «Crysis 3», используя базовую платформу Nvidia. За командой следует путь к файлу библиотеки DLL (динамической библиотеки ссылок), который затем загружается процессом «Crysis 3».

Исследователи обнаружили способ создания ссылок на происхождение: //, которые инструктируют клиента Origin открыть " Crysis 3 "с командой openautomate, за которой следует путь к вредоносному DLL-файлу, размещенному в сети или в общем ресурсе WebDAV. В URL-адрес может быть включен отдельный параметр команды, чтобы сделать «Crysis 3» незаметно открытым в фоновом режиме, если пользователи не видят никаких окон.

Атакующие могут затем обмануть пользователей на посещение веб-сайта, содержащего фрагмент кода JavaScript, который заставляет их браузеры откройте специально созданную ссылку.

Когда в браузере открывается первая ссылка: // в первый раз, пользователям будет предложено открыть их с клиентом Origin, который является зарегистрированным обработчиком для этого типа URL. Исследователи сказали, что в некоторых браузерах будет отображаться полный URL-адрес или его часть, в то время как другие браузеры не будут отображать URL-адрес.

Запросы подтверждения, отображаемые браузерами, предоставляют пользователям возможность всегда открывать начало: / / ссылки с клиентом Origin. Исследователи сказали, что большинство игроков уже выбрали этот вариант, чтобы они не беспокоились о диалоговом окне подтверждения, когда они нажимают на ссылку происхождения, а это означает, что для них атака будет полностью прозрачной.

Уязвимость почти идентична той, которая была обнаружена теми же исследователями в прошлом году в платформе распределения онлайн-игр Valve's Steam. Этот недостаток допускает злоупотребление паролем: // протокольные ссылки таким же образом.

Уязвимость Steam была зарегистрирована в октябре 2012 года, но пока не исправлена, говорят исследователи. По их словам, исправление этого, вероятно, потребует значительных изменений на платформе, поскольку это связано с конструктивным недостатком. Исследователи не ожидают, что EA также исправит проблему с исходным кодом в ближайшее время.

Атака не ограничивается "Crysis 3." Исследователи сказали, что он также работает для других игр, которые имеют похожие функции командной строки или некоторые локальные уязвимости. По его словам, недостаток в основном обеспечивает способ удаленного использования функций или проблем безопасности, которые в противном случае могли бы быть подвергнуты локальным атакам.

Ауриемма и Ферранте никогда не раскрывают уязвимости, которые они находят для затронутых поставщиков программного обеспечения, поэтому они не предупреждали EA о недостатке, прежде чем представить его в Black Hat.

Исследователи опубликовали на своем веб-сайте технический документ, который объясняет проблему более подробно и предлагает способ смягчения атак. Смягчение включает использование специализированного инструмента urlprotocolview для отключения источника: // URL.

Побочным эффектом этого будет то, что запуск игр с помощью ярлыков на рабочем столе или их исполняемых файлов больше не будет работать. Тем не менее, пользователи все равно смогут запускать игры внутри клиента Origin.