Уязвимость в магазине игр Origin, разработанном Electronic Arts, угрожала 300 млн геймеров

Команда исследователей Check Point Research и специалисты компании CyberInt обнаружили цепочку уязвимостей в магазине игр Origin, разработанном Electronic Arts. Проблема могла привести к взлому аккаунтов и краже личных данных 300 миллионов геймеров по всему миру.

В соответствии с правилами раскрытия уязвимостей, эксперты CyberInt и Check Point сообщили EA о найденных проблемах, чтобы компания могла устранить их и установить необходимые обновления до того, как киберпреступники смогут воспользоваться ими. В настоящее время уязвимость, которая могла бы позволить злоумышленникам захватить аккаунт игрока, устранена.

Для эксплуатации проблемы атакующим не нужно было заставлять пользователей «поделиться» своими учетными данными и прибегать к хитрым трюкам. Вместо этого злоумышленники могли воспользоваться заброшенными субдоменами EAGames, чтобы отслеживать запросы, сделанные действующими пользователями.

Дело в том, что один из поддоменов EA более не использовался, но указывал на заброшенный хост Microsoft Azure, который мог зарегистрировать любой желающий. Фактически, для осуществления атаки нужно было попросту вынудить жертву перейти по легитимной реферальной ссылке.

«Как правило, все сервисы, предоставляемые облачными компаниями (таким как EA Games), регистрируются по уникальному адресу субдомена (например, eaplayinvite.ea.com) и имеют DNS pointer (A или CNAME) на определенный хост облачного провайдера (ea-invite-reg.azurewebsites.net), который запускает нужный сервис в фоновом режиме, в данном случае — сервер веб-приложений», — объясняют исследователи.

Так как упомянутый субдомен более не использовался, эксперты смогли зарегистрировать на себя ea-invite-reg.azurewebsites.net в Azure. Из-за того что запись CNAME была активна, исследователи получили возможность наблюдать за всеми запросами пользователей к eaplayinvite.ea.com.

Впрочем, одного только этого было недостаточно для полной компрометации и захвата чьей-либо учетной записи. Развить атаку далее помогло тщательное изучение механизма SSO (single sign-on), используемого EA, и механизма TRUST, который существует между доменами ea.com и origin.com и их поддоменами.

Дело в том, что в рамках процесса аутентификации используется сервис answers.ea.com: запрос oAauth HTTP направляется accounts.ea.com, чтобы новый пользователь мог получить токен SSO. После этого пользователя должны перенаправить на answers.ea.com через signin.ea.com. Но подделывая параметр returnURI в HTTP-запросе аналитики сумели перенаправить запросы на свой вредоносный домен и узнать адрес сервиса EA, для которого генерировался токен SSO (отправить сам токен «на сторону» не вышло из-за защитных механизмов EA).

Но и эту защиту в конечном итоге удалось преодолеть. Как оказалось, запрос к signin.ea.com содержал параметр redirectback. Результатом его работы являлось перенаправление аутентифицированных игроков EA на вредоносный сервер исследователей без привязки к токену доступа. Это позволило регистрировать все входящие запросы, включавшие в себя токен в HTTP referer.

Таким образом, исследователи получили доступ к учетным записям пользователей EA и могли выдать себя за их настоящих владельцев. Это позволяло узнать личные данные пользователя, похитить ID сессий, обойти аутентификацию и, при желании, накупить виртуальных товаров, используя чужой счет.

Демонстрацию компрометации учетной записи EA можно увидеть в ролик ниже.

«Платформа EA Origin очень популярна; найденные уязвимости позволили бы хакерам взломать и использовать миллионы учетных записей пользователей, — говорит Одед Вануну, глава подразделения Check Point по исследованию и поиску уязвимостей. — Недавно мы уже находили уязвимости в платформе EpicGames для игры Fortnite, что показывает, насколько уязвимы онлайновые и облачные приложения к атакам и взломам. Платформы такого типа становятся все более привлекательными для хакеров из-за огромного количества конфиденциальных данных клиентов, которые они хранят».

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.