Fejl tillader angreb på Origin-spillere, siger sikkerhedsforskere

Brugere af Oprindelse, platformen for distribution af spil af Electronic Arts (EA), er sårbare over for fjernkørsel af kodeeksempler gennem oprindelse: // URL'er, ifølge to sikkerhedsforskere.

Luigi Auriemma og Donato Ferrante, grundlæggerne af det maltesiske sikkerhedskonsulentfirma ReVuln, afslørede sikkerhedsproblemet i sidste uge under en tale på Black Hat Europe 2013-konferencen i Amsterdam.

Sårbarheden gør det muligt for angriberne at udføre vilkårlig kode på oprindelsesbrugere 'computere ved at narre dem ind på at besøge et ondsindet websted eller klikke på et specielt udformet link, sagde forskerne. I de fleste tilfælde vil angrebet være automatisk og kræver ingen brugerinteraktion, sagde de.

[Yderligere læsning: Sådan fjerner du skadelig software fra din Windows-pc]

Kommandolinje indstilling tillader indtrængning

Når Origin-klienten er installeret på en computer registrerer den sig som handler for oprindelse: // protokoll links, som bruges til at starte spil - herunder med kommandolinjevalg - eller at initiere andre handlinger gennem klienten.

Nogle spil har kommandolinjevalg, der Tillad indlæsning af yderligere filer. Eksempelvis demonstrerede forskerne oprindelseslinket angreb på det nye "Crysis 3" -spil, som understøtter en kommandopunkt kaldet openautomate.

Openautomate er en funktion, der gør det muligt for brugere at teste deres grafikkorts ydeevne i "Crysis 3" ved hjælp af Nvidia benchmarkrammen. Kommandoen efterfølges af stien til en DLL-fil (dynamisk link bibliotek), som derefter læses af Crysis 3-processen.

Forskerne fandt en måde at fremstille oprindelse: // links, der instruerer Origin-klienten til at åbne " Crysis 3 "med openautomate kommandoen efterfulgt af en sti til en ondsindet DLL-fil hostet på et netværk eller WebDAV-share. En separat kommandovalg kan indgå i URL'en for at gøre "Crysis 3" åbent lydløst i baggrunden uden at brugerne ser nogen windows.

Attackere kan så narre brugere til at besøge et websted, der indeholder et stykke JavaScript-kode, der tvinger deres browsere til at åbner den specialfremstillede link.

Når en oprindelse: // link åbnes for første gang i en browser, bliver brugerne spurgt, om de vil åbne den med Origin-klienten, som er den registrerede handler for denne type URL. Nogle browsere vil vise hele URL-stien eller en del af den, mens andre browsere slet ikke vil få vist webadressen, siger forskerne.

Bekræftelsesprompterne, der vises af browsere, giver brugerne mulighed for altid at åbne oprindelse: / / links med Origin-klienten. De fleste spillere har sikkert allerede valgt denne indstilling, så de ikke generer sig med bekræftelsesdialoger, hver gang de klikker på et oprindelseslink, hvilket betyder at for dem vil angrebet være helt gennemsigtigt, siger forskerne.

Ligner Dampfejl

Sårbarheden er næsten identisk med en, der blev fundet af de samme forskere sidste år i Valves Steam online spildistributionsplatform. Denne fejl tillod brud på damp: // protokolforbindelser på samme måde.

Dampsårbarheden blev rapporteret i oktober 2012, men er endnu ikke fastsat, siger forskerne. Fastsættelse det ville sandsynligvis kræve betydelige ændringer på platformen, fordi det skyldes et designfejl, sagde de. Forskerne forventer ikke EA at løse problemet med oprindelseslinket nogen gang snart.

Angrebet er ikke begrænset til "Crysis 3." Det virker også for andre spil, der har lignende kommandolinjefunktioner eller nogle lokale sårbarheder, siger forskerne. Fejlen giver i det væsentlige en måde at fjerne misbrugsfunktioner eller sikkerhedsproblemer, der ellers kun ville blive udsat for lokale angreb, sagde de.

Auriemma og Ferrante afslører aldrig de sårbarheder, de finder hos de berørte softwareleverandører, så de ikke advarede EA om fejlen, før den præsenteres ved Black Hat.

Forskerne offentliggjorde et hvidbog på deres hjemmeside, der forklarer spørgsmålet mere detaljeret og foreslår en måde at afbøde angrebene på. Afbødningen indebærer at bruge et specialiseret værktøj kaldet urlprotocolview for at deaktivere oprindelsen: // URL.

Bivirkningen ved at gøre dette vil være, at lancering af spil ved hjælp af skrivebordsgenveje eller deres eksekverbare filer ikke længere fungerer. Brugere vil dog stadig kunne starte spillene indefra Origin-klienten.