Fout maakt aanval op Origin-gamers mogelijk, beweren beveiligingsonderzoekers

Gebruikers van Origin, het spelverdelingsplatform van Electronic Arts (EA), zijn volgens twee beveiligingsonderzoekers kwetsbaar voor externe code-uitvoeringsaanvallen door oorsprong: // URL's. Luigi Auriemma en Donato Ferrante, de oprichters van het op Malta gebaseerde beveiligingsadviesbureau ReVuln, hebben het beveiligingsprobleem vorige week onthuld tijdens een lezing op de Black Hat Europe 2013-conferentie in Amsterdam.

Het beveiligingslek stelt aanvallers in staat willekeurige code op Origin-gebruikers uit te voeren 'computers door ze te misleiden tot het bezoeken van een kwaadwillende website of door op een speciaal ontworpen link te klikken, zeiden de onderzoekers. In de meeste gevallen is de aanval automatisch en vereist geen gebruikersinteractie, zeiden ze.

[Meer informatie: Hoe malware van uw Windows-pc te verwijderen]

Opdrachtregeloptie staat inbraak toe

Wanneer de Origin-client is geïnstalleerd op een computer registreert het zichzelf als de handler voor origin: // protocolkoppelingen, die worden gebruikt om games te starten, inclusief met opdrachtregelopties, of om andere acties via de client te starten.

Sommige games hebben opdrachtregelopties die laat het laden van extra bestanden toe. De onderzoekers demonstreerden bijvoorbeeld de Origin-linkaanval op de nieuwe "Crysis 3" -game, die een opdrachtoptie genaamd openautomate ondersteunt.

Openautomate is een functie waarmee gebruikers de prestaties van hun grafische kaart in "Crysis 3" kunnen testen gebruik van het Nvidia-benchmarkkader. De opdracht wordt gevolgd door het pad naar een DLL-bestand (dynamic link library) dat vervolgens wordt geladen door het proces "Crysis 3".

De onderzoekers hebben een manier gevonden om origin te maken: // links die de Origin-client opdracht geven om te openen " Crysis 3 "met de opdracht openautomate gevolgd door een pad naar een kwaadaardig DLL-bestand dat wordt gehost op een netwerk- of WebDAV-share. Een aparte commando-optie kan in de URL worden opgenomen om "Crysis 3" stil op de achtergrond te openen zonder dat gebruikers vensters zien.

Wanneer een oorsprong: // -link voor de eerste keer in een browser wordt geopend, wordt gebruikers gevraagd of zij deze willen openen met de Origin-client, de geregistreerde handler voor dit type URL. Sommige browsers geven het volledige URL-pad of een deel daarvan weer, terwijl andere browsers de URL helemaal niet weergeven, aldus de onderzoekers.

De bevestigingsprompt die door browsers wordt weergegeven, biedt gebruikers de mogelijkheid om altijd hun oorsprong te openen: / / koppelingen met de Origin-client. De meeste gamers hebben deze optie waarschijnlijk al geselecteerd, zodat ze geen last hebben van bevestigingsdialogen telkens wanneer ze op een oorspronglink klikken, wat betekent dat de aanval voor hen volledig transparant is, aldus de onderzoekers.

Vergelijkbaar met Steam-fout

De kwetsbaarheid is vrijwel identiek aan die van dezelfde onderzoekers vorig jaar in Valve's Steam online game distributieplatform. Die fout maakte het misbruik van stoom: // protocolverbindingen op dezelfde manier mogelijk.

De stoomkwetsbaarheid werd gemeld in oktober 2012 maar moet nog worden opgelost, aldus de onderzoekers. De oplossing zou waarschijnlijk aanzienlijke veranderingen in het platform vereisen omdat het het gevolg is van een ontwerpfout, zeiden ze. De onderzoekers verwachten ook niet dat EA het probleem met de oorsprongskoppeling binnenkort zal oplossen.

De aanval is niet beperkt tot "Crysis 3". Het werkt ook voor andere spellen met vergelijkbare commandoregel-functies of een aantal lokale kwetsbaarheden, aldus de onderzoekers. De fout is in wezen een manier om op afstand functies of beveiligingsproblemen te misbruiken die anders alleen zouden worden blootgesteld aan lokale aanvallen, zeiden ze.

Auriemma en Ferrante onthullen nooit de kwetsbaarheden die ze tegenkomen bij de betrokken softwareleveranciers, dus waarschuwden ze EA niet over het gebrek voordat het bij Black Hat wordt gepresenteerd.

De onderzoekers publiceerden een whitepaper op hun website die het probleem gedetailleerder uitlegt en een manier voorstelt om de aanvallen te verzachten. De beperking omvat het gebruik van een gespecialiseerde tool met de naam urlprotocolview om de oorsprong: // URL uit te schakelen.

Het neveneffect hiervan is dat het starten van games met de snelkoppelingen op het bureaublad of hun uitvoerbare bestanden niet langer werkt. Gebruikers kunnen de games echter nog steeds vanuit de Origin-client starten.