{"id":200034,"date":"2018-01-23T17:56:48","date_gmt":"2018-01-23T16:56:48","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=200034"},"modified":"2018-11-11T12:10:40","modified_gmt":"2018-11-11T11:10:40","slug":"sicherheitslcke-in-blizzard-spielen-bedrohte-spieler","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/01\/23\/sicherheitslcke-in-blizzard-spielen-bedrohte-spieler\/","title":{"rendered":"Sicherheitslücke in Blizzard-Spielen bedrohte Spieler"},"content":{"rendered":"

[English<\/a>]Bis zu 500 Millionen Nutzer von Spielen der Firma Activision Blizzard waren monatelang durch eine kritische Sicherheitsl\u00fccke im Updater bedroht, \u00fcber die Angreifer Schadcode auf den PC h\u00e4tten einschleusen k\u00f6nnen.<\/p>\n

<\/p>\n

Die Sicherheitsl\u00fccke betrifft alle Spiele des Herstellers Activision Blizzard, die den Updater verwenden. Dazu geh\u00f6ren u.a. auch die recht popul\u00e4ren Spiele World of Warcraft, Overwatch, Diablo III, Hearthstone und Starcraft II von Blizzard Entertainment, wie The Hacker News schreibt<\/a>. Betroffen sollen 500 Millionen Spieler sein, wie z.B. heise.de hier<\/a> berichtet. Aufgedeckt hat die L\u00fccke Googles Sicherheitsforscher Tavis Ormandy, der das Ganze im Project Zero in diesem Artikel<\/a> \u00f6ffentlich machte.<\/p>\n

Update Agent anf\u00e4llig f\u00fcr DNS-Rebinding-Attacke<\/h2>\n

Laut Ormandy richtet der Update Agent einen JSON-RPC-Server unter Localhost ein. \u00dcber Port 1120 konnten dem Server Kommandos zum Installieren, Updaten oder Warten von Spielekomponenten \u00fcbermittelt werden. Wegen einer Sicherheitsl\u00fccke waren auch fremde Webseiten unter bestimmten Bedingungen in der Lage, dem Update Agenten \u00fcber den JSON-RPC-Server Befehle zu \u00fcbermitteln.<\/p>\n

Ein Angriff erfordert jedoch, dass Angreifer eine Domain und einen DNS-Server kontrollieren. Dann k\u00f6nnen sie einen bestimmten DNS-Namen vergeben, um sich gegen\u00fcber dem Update als Blizzard auszugeben. Besuchen die Opfer eine kompromittierte Webseite, k\u00f6nnen die Angreifer privilegierte Befehle an den Updater schicken und beliebige Software auf dem System installieren.<\/p>\n

Halbherzige L\u00f6sung von Blizzard<\/h2>\n

Ormandy informierte die Blizzard-Entwickler am 8. Dezember 2017 \u00fcber diese Sicherheitsl\u00fccke. Die Kommunikation riss aber wohl am 22. Dezember 2017 ab, die Blizzard-Entwickler reagierten nicht mehr. Sp\u00e4ter bemerkte Ormandy, dass Blizzard in Version 5996 des Update Agenten die Sicherheitsl\u00fccke stillschweigend geschlossen haben. Allerdings merkt er an, dass eine sehr 'bizarre' L\u00f6sung gew\u00e4hlt wurde.<\/p>\n

Their solution appears to be to query the client command line, get the 32-bit FNV-1a string hash of the exename and then check if it's in a blacklist. I proposed they whitelist Hostnames, but apparently that solution was too elegant and simple.<\/p><\/blockquote>\n

Die L\u00f6sung besteht darin, die die Client-Befehlszeile abzufragen, und den 32-Bit FNV-1a String Hash des Namens der exe<\/em>-Datei zu ermitteln. Dann wird \u00fcberpr\u00fcft, ob dieser in einer Blacklist enthalten ist. Verwendet ein Angreifer einen Namens f\u00fcr die exe<\/em>-Datei, der in er Blacklist fehlt, gelingt der Angriff erneut. Die von Ormandy vorgeschlagene Whitelist an Hostnamen scheint den Blizzard-Entwickler, so der Google Sicherheitsforscher 'anscheinend als L\u00f6sung zu elegant und einfach'. Aktuell ist bei Blizzard wohl ein weiterer Patch in der Qualit\u00e4tskontrolle, der die Whitelist implementiert.<\/p>\n

Erg\u00e4nzung: But wait, noch nicht alles<\/h2>\n

Hab wohl zu schnell den Ver\u00f6ffentlichen-Knopf f\u00fcr den Artikel gedr\u00fcckt. Daher noch ein Nachtrag. Die Blizzard-Entwickler machen die gleichen Fehler wie die Entwickler des beA-Postfachs: Sie liefern ein Zertifikate f\u00fcr den localhost aus, der die betreffenden privaten Keys enthalten muss. Dieser Tweet<\/a> weist auf den Sachverhalt hin.<\/p>\n

\n

Wait, I installed it, how is https:\/\/t.co\/vmzB19o3xb<\/a> using a valid certificate. I don't know if I want to look under this rock. \/cc @hanno<\/a> pic.twitter.com\/UZJwPRJuGE<\/a><\/p>\n

\u2014 Tavis Ormandy (@taviso) December 6, 2017<\/a><\/p><\/blockquote>\n