研究員:暴雪游戲存在嚴重漏洞 可導致玩家電腦被遠程劫持手游
谷歌安全研究員Tavis Ormandy發現暴雪游戲存在一個嚴重漏洞,攻擊者利用該漏洞針對游戲玩家電腦可實現遠程惡意代碼執行。“魔獸世界”、“守望先鋒”、“暗黑破壞神3”、“爐石傳說”和“星際爭霸2”等由暴雪娛樂公司創造的流行網絡游戲,每月的在線玩家數量都達5億人次。
漏洞信息
如果要用網絡瀏覽器在線玩暴雪游戲,用戶需要在自己電腦系統中安裝一個名為‘Blizzard Update Agent’的客戶端程序,利用它來運行HTTP協議和1120端口的JSON-RPC服務,以便執行‘命令安裝、卸載、設置更改、更新和其他維護相關的選項’動作。
Tavis Ormandy發現這個安裝在玩家系統中的Blizzard Update Agent,存在一種名為’DNS Rebinding‘(DNS重綁定)的漏洞,這種漏洞實現的攻擊允許用任何網站充當外部服務器和玩家本地主機之間的中轉橋梁。
漏洞分析及PoC
當攻擊者簡單地創建了一個DNS入口,并把某個可控制的URL頁面綁定了客戶端IP 127.0.0.1之后,迷惑電腦玩家訪問該構造的URL頁面,在此過程中,DNS重綁定技術的利用導致DNS發起的請求破壞瀏覽器同源策略(SSO),可使攻擊者各客戶端Blizzard Update Agent程序發起一些Java方式的執行命令。
$ curl -si http://localhost:1120/agent HTTP/1.0 200 OK Content-Length: 359 { "pid" : 3140.000000, "user_id" : "S-1-5-21-1613814707-140385463-2225822625-1000", "user_name" : "S-1-5-21-1613814707-140385463-2225822625-1000", "state" : 1004.000000, "version" : "2.13.4.5955", "region" : "us", "type" : "retail", "opt_in_feedback" : true, "session" : "15409717072196133548", "authorization" : "11A87920224BD1FB22AF5F868CA0E789" }
盡管瀏覽器中運行的隨機網站通常不能向自己以外的主機域名發起請求,但由于本地的Blizzard Update Agent服務不會驗證客戶端請求的主機名,也不會響應此類請求,所以導致了該漏洞的可利用。
利用DNS重綁定技術,可以把某個可控URL,解析到玩家本地主機,進而與之進行通信。也就是說任何可控的URL都能向客戶端發送命令。由此,我使用以下頁面來生成測試名為7f000001.c0a80001.rbndr.us的主機名。
因此,我在7f000001.c0a80001.rbndr.us域名中綁定了127.0.0.1和199.241.29.227兩個IP:
$ host 7f000001.c7f11de3.rbndr.us
7f000001.c7f11de3.rbndr.us has address 127.0.0.1
$ host 7f000001.c7f11de3.rbndr.us
7f000001.c7f11de3.rbndr.us has address 199.241.29.227
$ host 7f000001.c7f11de3.rbndr.us
7f000001.c7f11de3.rbndr.us has address 127.0.0.1
通過上述信息可知,主機名在兩個IP之間進行解析處理,但當DNS Response中的TTL字段足夠短時,將不會從本地DNS緩存中讀取,而是重新發起DNS請求,當兩個IP綁定到同一主機名上后,瀏覽器就會認為該兩個IP都來自同一源地址,由此突破同源策略實現攻擊。以下為一個簡單地PoC測試頁面,它可以實現對Blizzard客戶端的攻擊,利用網絡驅動或目標設定來在玩家瀏覽器中和系統中“下載”或安裝惡意dll以及數據文件等。
修復過程
Ormandy最初于去年12月向暴雪公司報告了該漏洞,并催促暴雪公司盡快制作補丁以免玩家電腦系統受到影響。但在初次溝通之后,暴雪公司卻停止了對Ormandy的郵件回應,并偷偷地在客戶端版本5996中加入了部分緩解措施。
“暴雪公司在12月22日就突然停止了和我的郵件交流,他們不再回復我任何問題,但卻悄悄在5996客戶端中加入了一種奇怪的解決方案。”
“他們的解決方案似乎是查詢客戶端命令行,獲取exename的32位FNV-1a哈希值,然后檢查它是否在黑名單中,我建議他們把主機名列入白名單,但顯然該解決方案過于簡單。暴雪在不通知或咨詢我的情況下就釋出這個補丁,我非常不高興。
但當Ormandy在此公開了該漏洞之后,暴雪公司卻主動聯系他并聲稱,將會采取更多穩定的主機白名單機制來修復該漏洞,相關補丁正在研發部署之中。針對該漏洞,Ormandy還對其它大型網游是否進行了檢查測試。Ormandy還于上周發現了開源下載工具Transmission BitTorrent中存在的一個RCE漏洞,該漏洞同樣可致使攻擊者在Transmission客戶端遠程執行惡意代碼,進而控制客戶端系統。
【來源:游戲觀察】
1.砍柴網遵循行業規范,任何轉載的稿件都會明確標注作者和來源;2.砍柴網的原創文章,請轉載時務必注明文章作者和"來源:砍柴網",不尊重原創的行為砍柴網或將追究責任;3.作者投稿可能會經砍柴網編輯修改或補充。
京公網安備 11010502032797號