Sicherheitslücke in Blizzard-Spielen bedrohte Spieler

[English]Bis zu 500 Millionen Nutzer von Spielen der Firma Activision Blizzard waren monatelang durch eine kritische Sicherheitslücke im Updater bedroht, über die Angreifer Schadcode auf den PC hätten einschleusen können.

Die Sicherheitslücke betrifft alle Spiele des Herstellers Activision Blizzard, die den Updater verwenden. Dazu gehören u.a. auch die recht populären Spiele World of Warcraft, Overwatch, Diablo III, Hearthstone und Starcraft II von Blizzard Entertainment, wie The Hacker News schreibt. Betroffen sollen 500 Millionen Spieler sein, wie z.B. heise.de hier berichtet. Aufgedeckt hat die Lücke Googles Sicherheitsforscher Tavis Ormandy, der das Ganze im Project Zero in diesem Artikel öffentlich machte.

Update Agent anfällig für DNS-Rebinding-Attacke

Laut Ormandy richtet der Update Agent einen JSON-RPC-Server unter Localhost ein. Über Port 1120 konnten dem Server Kommandos zum Installieren, Updaten oder Warten von Spielekomponenten übermittelt werden. Wegen einer Sicherheitslücke waren auch fremde Webseiten unter bestimmten Bedingungen in der Lage, dem Update Agenten über den JSON-RPC-Server Befehle zu übermitteln.

Ein Angriff erfordert jedoch, dass Angreifer eine Domain und einen DNS-Server kontrollieren. Dann können sie einen bestimmten DNS-Namen vergeben, um sich gegenüber dem Update als Blizzard auszugeben. Besuchen die Opfer eine kompromittierte Webseite, können die Angreifer privilegierte Befehle an den Updater schicken und beliebige Software auf dem System installieren.

Halbherzige Lösung von Blizzard

Ormandy informierte die Blizzard-Entwickler am 8. Dezember 2017 über diese Sicherheitslücke. Die Kommunikation riss aber wohl am 22. Dezember 2017 ab, die Blizzard-Entwickler reagierten nicht mehr. Später bemerkte Ormandy, dass Blizzard in Version 5996 des Update Agenten die Sicherheitslücke stillschweigend geschlossen haben. Allerdings merkt er an, dass eine sehr 'bizarre' Lösung gewählt wurde.

Their solution appears to be to query the client command line, get the 32-bit FNV-1a string hash of the exename and then check if it's in a blacklist. I proposed they whitelist Hostnames, but apparently that solution was too elegant and simple.

Die Lösung besteht darin, die die Client-Befehlszeile abzufragen, und den 32-Bit FNV-1a String Hash des Namens der exe-Datei zu ermitteln. Dann wird überprüft, ob dieser in einer Blacklist enthalten ist. Verwendet ein Angreifer einen Namens für die exe-Datei, der in er Blacklist fehlt, gelingt der Angriff erneut. Die von Ormandy vorgeschlagene Whitelist an Hostnamen scheint den Blizzard-Entwickler, so der Google Sicherheitsforscher 'anscheinend als Lösung zu elegant und einfach'. Aktuell ist bei Blizzard wohl ein weiterer Patch in der Qualitätskontrolle, der die Whitelist implementiert.

Ergänzung: But wait, noch nicht alles

Hab wohl zu schnell den Veröffentlichen-Knopf für den Artikel gedrückt. Daher noch ein Nachtrag. Die Blizzard-Entwickler machen die gleichen Fehler wie die Entwickler des beA-Postfachs: Sie liefern ein Zertifikate für den localhost aus, der die betreffenden privaten Keys enthalten muss. Dieser Tweet weist auf den Sachverhalt hin.

Wait, I installed it, how is https://t.co/vmzB19o3xb using a valid certificate. I don't know if I want to look under this rock. /cc @hanno pic.twitter.com/UZJwPRJuGE

— Tavis Ormandy (@taviso) December 6, 2017

Laut dieser Google-Diskussion muss das Zertifikat dann zurück gerufen werden, da diese kompromittiert ist.

Ähnliche Artikel:
beA verteilt Zertifikat mit privatem Key beim besonderen elektronischen Anwaltspostfach
Offline: BeA bleibt nach Sicherheitspanne vorerst offline
beA-Debakel führt zu möglichem Trojaner-Befall
Neues vom #beagate (beA), ein Brief der BRAK
#beA-Splitter zum Wochenendausklang