Luka w aplikacji Blizzarda. 500 mln użytkowników było podatnych na atak

Mamy dopiero początek 2018 roku, ale liczba poważnych luk i dziur ujawnionych w styczniu przytłacza. Zarówno kwestie hardware, jak i software pozostawiają wiele do życzenia i wielu producentów w pośpiechu wypuszcza łatki mające zapobiec atakom. Największym do tej pory problemem jest Meltdown i Spectre, które dotyczy praktycznie wszystkich procesorów wyprodukowanych na przestrzeni ostatnich 20 lat (więcej o tym przeczytacie tutaj). Ten wpis poświęcony jest jednak zupełnie innej kwestii. Okazuje się, że blisko pół miliarda osób grających w tytuły Blizzarda mogło być podatnych na ataki wykorzystujące Blizzard Update Agent – aktualizator aplikacji.

Odkrywcą błędu jest Tavis Ormandy, pracownik Google, który zajmuje się bezpieczeństwem. Problem dotyczy aplikacji Blizzard Update Agent[1], który jest dostarczany ze wszystkimi grami wspomnianej firmy (wliczając oczywiście topowe tytuły jak StarCraft 2, Diablo 3, Overwatch czy World of WarCraft).

 

 

Wspomniany program do aktualizacji zawiera serwer JSON-RPC (zdalne wykonywanie procedur), do którego (jak się okazuje) inne aplikacje mogą wysyłać komendy i wchodzić z nim w interakcję. Tavis Ormandy zauważył, że jest w stanie wykorzystać przeglądarkę i dostarczyć szkodliwy kod zapisany w JavaScript, który spowoduje „przepięcie” właściwego dla aktualizatora Blizzarda serwera, na szkodliwy. W ten sposób na komputer może zostać dostarczone szkodliwe oprogramowanie, które postrzegane będzie jako normalna aktualizacja…

Błąd został na szczęście załatany przez Blizzarda krótko po poinformowaniu przez Tavisa o ryzyku (co miało miejsce w grudniu). Niestety odkrywca wskazuje, że nastąpiło to po cichu i już zauważył pewne niedoskonałosci łatki. Osoby, które w tym czasie nie robiły aktualizacji powinny jak najszybciej uruchomić stosowną opcję w Blizzard Update Agent.

Na koniec warto poinformować, że w kolejce czekają kolejne gry z podatnościami. Szczegóły mają zostać podane wkrótce.

[1] https://www.bleepingcomputer.com/news/security/blizzard-fixes-dns-rebinding-flaw-that-put-all-the-companys-users-at-risk/