Известный ИБ-специалист и сотрудник Google Project Zero Тевис Орманди (Tavis Ormandy) обнаружил опасную уязвимость в составе Blizzard Update Agent, из-за которой миллионы поклонников игр компании Blizzard Entertainment (World of Warcraft, Overwatch, Diablo III, Hearthstone, Starcraft II) могли стать жертвами злоумышленников.
Дело в том, что для игр Blizzard Entertainment требуется установка специального «агента обновлений» (Blizzard Update Agent), который запускает на компьютере игрока сервер JSON-RPC, работающий с HTTP и портом 1120. Он принимает команды на установку, удаление изменение настроек и обновление связанных с ним продуктов.
Орманди обнаружил, что Blizzard Update Agent уязвим перед атаками типа DNS Rebinding, то есть злоумышленники могут выдать любой сайт за мост между сервером Blizzard и клиентом жертвы. Таким образом преступники получают возможность отправить Blizzard Update Agent произвольный файл под видом игрового обновления.
Проблема была найдена еще в начале декабря 2017 года, а 22 декабря 2017 года разработчики Blizzard Entertainment устранили уязвимость. Однако Орманди пишет, что инженеры компании не стали прислушиваться к его советам и фактически прервали общение после устранения бага (даже не сообщив о самом факте его устранения). Между тем, исследователь недоволен тем, как именно сотрудники Blizzard Entertainment решили данную проблему.
Специалист объясняет, что патч для Blizzard Update Agent (версия 5996) использует слишком сложный метод устранения бага: теперь Blizzard Update Agent берет имя приложения, отправляющего команды серверу JSON RPC, вычисляет 32-битный хеш FNV-1a, а затем сравнивает со списком приложений, которым не разрешено обращаться к JSON RPC. Браузер, судя по всему, находится в черном списке.
«Я предлагал им использовать “белый список” для имен хостов, но очевидно, это решение было слишком элегантным и простым, — пишет Орманди. — Я недоволен тем, что Blizzard выпустила патч, не уведомив меня и не посоветовавшись по этому вопросу. Очевидная недоработка в этой схеме заключается в том, что черный список необходимо поддерживать и дополнять, так что я ожидаю, что со временем он откажет, или проблемы возникнут у пользователей необычных браузеров».
Эксперт опубликовал proof-of-concept эксплоит для атаки на Blizzard Update Agent и пообещал, что в ближайшие недели расскажет о других уязвимостях в популярных игровых приложениях, чья пользовательская база превышает 100 млн человек.
I plan to look at other games with very high install bases (100M+) in the coming weeks.
— Tavis Ormandy (@taviso) January 22, 2018
Представители Blizzard Update Agent уже отреагировали на раскрытие информации об уязвимости и сообщили, что занимаются разработкой более эффективного патча.
