Sicherheitslücke in Blizzard-Spielen bedrohte Spieler

[English]Bis zu 500 Millionen Nutzer von Spielen der Firma Activision Blizzard waren monatelang durch eine kritische Sicherheitslücke im Updater bedroht, über die Angreifer Schadcode auf den PC hätten einschleusen können.


Anzeige

Die Sicherheitslücke betrifft alle Spiele des Herstellers Activision Blizzard, die den Updater verwenden. Dazu gehören u.a. auch die recht populären Spiele World of Warcraft, Overwatch, Diablo III, Hearthstone und Starcraft II von Blizzard Entertainment, wie The Hacker News schreibt. Betroffen sollen 500 Millionen Spieler sein, wie z.B. heise.de hier berichtet. Aufgedeckt hat die Lücke Googles Sicherheitsforscher Tavis Ormandy, der das Ganze im Project Zero in diesem Artikel öffentlich machte.

Update Agent anfällig für DNS-Rebinding-Attacke

Laut Ormandy richtet der Update Agent einen JSON-RPC-Server unter Localhost ein. Über Port 1120 konnten dem Server Kommandos zum Installieren, Updaten oder Warten von Spielekomponenten übermittelt werden. Wegen einer Sicherheitslücke waren auch fremde Webseiten unter bestimmten Bedingungen in der Lage, dem Update Agenten über den JSON-RPC-Server Befehle zu übermitteln.

Ein Angriff erfordert jedoch, dass Angreifer eine Domain und einen DNS-Server kontrollieren. Dann können sie einen bestimmten DNS-Namen vergeben, um sich gegenüber dem Update als Blizzard auszugeben. Besuchen die Opfer eine kompromittierte Webseite, können die Angreifer privilegierte Befehle an den Updater schicken und beliebige Software auf dem System installieren.

Halbherzige Lösung von Blizzard

Ormandy informierte die Blizzard-Entwickler am 8. Dezember 2017 über diese Sicherheitslücke. Die Kommunikation riss aber wohl am 22. Dezember 2017 ab, die Blizzard-Entwickler reagierten nicht mehr. Später bemerkte Ormandy, dass Blizzard in Version 5996 des Update Agenten die Sicherheitslücke stillschweigend geschlossen haben. Allerdings merkt er an, dass eine sehr 'bizarre' Lösung gewählt wurde.

Their solution appears to be to query the client command line, get the 32-bit FNV-1a string hash of the exename and then check if it's in a blacklist. I proposed they whitelist Hostnames, but apparently that solution was too elegant and simple.

Die Lösung besteht darin, die die Client-Befehlszeile abzufragen, und den 32-Bit FNV-1a String Hash des Namens der exe-Datei zu ermitteln. Dann wird überprüft, ob dieser in einer Blacklist enthalten ist. Verwendet ein Angreifer einen Namens für die exe-Datei, der in er Blacklist fehlt, gelingt der Angriff erneut. Die von Ormandy vorgeschlagene Whitelist an Hostnamen scheint den Blizzard-Entwickler, so der Google Sicherheitsforscher 'anscheinend als Lösung zu elegant und einfach'. Aktuell ist bei Blizzard wohl ein weiterer Patch in der Qualitätskontrolle, der die Whitelist implementiert.

Ergänzung: But wait, noch nicht alles

Hab wohl zu schnell den Veröffentlichen-Knopf für den Artikel gedrückt. Daher noch ein Nachtrag. Die Blizzard-Entwickler machen die gleichen Fehler wie die Entwickler des beA-Postfachs: Sie liefern ein Zertifikate für den localhost aus, der die betreffenden privaten Keys enthalten muss. Dieser Tweet weist auf den Sachverhalt hin.

Laut dieser Google-Diskussion muss das Zertifikat dann zurück gerufen werden, da diese kompromittiert ist.


Anzeige

Ähnliche Artikel:
beA verteilt Zertifikat mit privatem Key beim besonderen elektronischen Anwaltspostfach
Offline: BeA bleibt nach Sicherheitspanne vorerst offline
beA-Debakel führt zu möglichem Trojaner-Befall
Neues vom #beagate (beA), ein Brief der BRAK
#beA-Splitter zum Wochenendausklang


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Sicherheitslücke in Blizzard-Spielen bedrohte Spieler

  1. Micha sagt:

    Das ist sehr interessant. Ich habe häufig auf Blizzard Seiten Zertifikatswarnungen von Kaspersky Internet Security 18 bekommen. Sie waren von "Go Daddy Secure Certificate Authority" ausgestellt. Im Forum Technischer Kundendienst wurden sie aber immer totgeschwiegen.

    Damals wurde dieses Sicherheitszertifikat bemängelt.

    "Habe hier Kaspersky Internet Security 18 installiert.

    Die Authentizität der Domain, mit der eine Verschlüsselte Verbindung erfolgt, kann nicht mit Sicherheit festgestellt werden.

    Programm: Firefox
    Webadresse: conv-blizzard-emea.cd.serving-sys.com
    Grund: Dieses Zertifikat oder ein Zertifikat in dieser Kette ist nicht aktuell.

    Wenn man dann auf "Zertifikat anzeigen" klickt öffnet sich ein Fenster mit den unten geschriebenen Informationen.

    Dieses Zertifikat ist entweder abgelaufen oder noch nicht gültig.

    Ausgestellt für: *.cd.serving-sys.com
    Ausgestellt von: GO Daddy Secure Certificate Authority – G2
    Gültig ab 02.01.2017 bis 02.01.2018

    Beitrag verfasst am 04.01.2018 um 07:28"

    Den Beitrag habe ich selbst im Diablo III Technischer Kundendienst verfasst.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.