Car-tech

Luigi Auriemma et Donato Ferrante, les fondateurs de ReVuln, cabinet de conseil en sécurité basé à Malte, ont dévoilé le problème de sécurité la semaine dernière lors d'une conférence à la conférence Black Hat Europe 2013.

Le Programme de Test à Domicile du Coronavirus soutenu par Bill Gates est suspendu

Le Programme de Test à Domicile du Coronavirus soutenu par Bill Gates est suspendu

Table des matières:

Anonim

[Lectures supplémentaires: Comment supprimer les logiciels malveillants de votre PC Windows]

L'option de ligne de commande permet l'intrusion

lorsque le client Origin est installé sur un ordinateur, il s'enregistre en tant que gestionnaire des liens d'origine: // protocole, utilisés pour lancer des jeux, y compris avec des options de ligne de commande, ou pour initier d'autres actions via le client.

Certains jeux ont des options de ligne de commande autoriser le chargement de fichiers supplémentaires. Par exemple, les chercheurs ont démontré l'attaque de lien d'origine contre le nouveau jeu "Crysis 3", qui supporte une option de commande appelée openautomate.

Openautomate est une fonctionnalité permettant aux utilisateurs de tester les performances de leur carte graphique dans "Crysis 3" en utilisant le cadre de référence Nvidia. La commande est suivie par le chemin vers un fichier DLL (bibliothèque de liens dynamiques) qui est ensuite chargé par le processus "Crysis 3"

Les chercheurs ont trouvé un moyen de créer des liens origine: // qui demandent au client Origin d'ouvrir " Crysis 3 "avec la commande openautomate suivie d'un chemin vers un fichier DLL malveillant hébergé sur un réseau ou un partage WebDAV. Une option de commande séparée peut être incluse dans l'URL pour que "Crysis 3" s'ouvre silencieusement en arrière-plan sans que les utilisateurs ne voient de fenêtres.

Les attaquants pourraient alors amener les utilisateurs à visiter un site Web contenant un code JavaScript. ouvrir le lien spécialement conçu

Lorsqu'un lien origin: // est ouvert pour la première fois dans un navigateur, les utilisateurs seront invités à l'ouvrir avec le client Origin, qui est le gestionnaire enregistré pour ce type de URL Certains navigateurs afficheront le chemin de l'URL complète ou une partie de celui-ci, tandis que les autres navigateurs n'afficheront pas l'URL, les chercheurs ont dit.

Les invites de confirmation affichées par les navigateurs offrent aux utilisateurs la possibilité d'ouvrir toujours l'origine: / / liens avec le client Origin. La plupart des joueurs ont probablement déjà choisi cette option afin qu'ils ne soient pas dérangés par des boîtes de dialogue de confirmation à chaque fois qu'ils cliquent sur un lien d'origine, ce qui signifie que pour eux l'attaque sera totalement transparente.

La vulnérabilité est presque identique à celle trouvée par les mêmes chercheurs l'année dernière dans la plate-forme de distribution de jeux en ligne Steam de Valve. Cette faille a permis d'abuser de la vapeur: // le protocole est lié de la même manière.

La vulnérabilité de Steam a été rapportée en octobre 2012 mais n'a pas encore été corrigée, selon les chercheurs. Corriger cela nécessiterait probablement des changements considérables à la plate-forme, car il résulte d'un défaut de conception, ont-ils dit. Les chercheurs ne s'attendent pas non plus à ce que EA corrige le problème du lien d'origine.

L'attaque ne se limite pas à "Crysis 3." Il fonctionne également pour d'autres jeux qui ont des fonctionnalités de ligne de commande similaires ou des vulnérabilités locales, selon les chercheurs. La faille fournit essentiellement un moyen d'abuser à distance des fonctionnalités ou des problèmes de sécurité qui ne seraient autrement exposés qu'aux attaques locales, ont-ils dit.

Auriemma et Ferrante ne divulguent jamais les vulnérabilités qu'ils trouvent aux éditeurs de logiciels concernés. à propos de la faille avant de le présenter à Black Hat.

Les chercheurs ont publié un livre blanc sur leur site Web qui explique la question plus en détail et propose un moyen d'atténuer les attaques. L'atténuation implique l'utilisation d'un outil spécialisé appelé urlprotocolview pour désactiver l'origine: // URL.

L'effet secondaire de cette action sera que le lancement de jeux utilisant les raccourcis du bureau ou leurs fichiers exécutables ne fonctionnera plus. Cependant, les utilisateurs pourront toujours lancer les jeux depuis le client Origin.