В приложении PlayStation Now для Windows устранили критический баг, который мог использоваться вредоносными сайтами для выполнения произвольного кода. Напомню, что этим сервисом уже пользуются более 2 000 000 человек.
Уязвимость еще летом текущего года обнаружил ИБ-эксперт Парсия Хакимиан (Parsia Hakimian) и сообщил о ней через недавно запущенную официальную bug bounty программу PlayStation на HackerOne. Проблема затрагивала PS Now версии 11.0.2 и более ранних на компьютерах под управлением Windows 7 SP1 или более поздних версий.
Исследователь обнаружил, что из-за проблем с подключением к приложению через веб-сокет, сайты, открытые в любом браузере, могли отправлять запросы приложению и загружать вредоносные URL-адреса, которые затем могли спровоцировать выполнение произвольного кода в системе.
По сути, приложение поднимало локальный сервер веб-сокетов, который никак не проверял источники входящих запросов, что позволяло сайтам отправлять запросы PlayStation Now. Чтобы успешно использовать эту ошибку, злоумышленники должны убедить пользователя PS Now, чье устройство хочет взломать, открыть специально созданный вредоносный сайт. К примеру, прислав ссылку на такой ресурс в фишинговом письме, оставив ее на форуме, канале в Discord и так далее.
Кроме того, приложение Electron AGL, запускаемое PlayStation Now, могло получить инструкции для загрузки определенных сайтов с помощью команд, отправленных на веб-сокет сервер. AGL также можно было использовать для запуска локальных приложений. Более того, приложение AGL Electron позволяло JavaScript на загруженных веб-страницах запускать новые процессы, по сути, тоже обеспечивая выполнение кода.
В настоящее время баг, получивший статус критического, уже был устранен, а Хакимиан получил за свое находку вознаграждение в размере 15 000 долларов США, невзирая на тот факт, что уязвимость не подпадала под условия bug bounty: затрагивала приложение для Windows, а не один из целевых ресурсов, включенных в программу (системы PlayStation 4 и PlayStation 5, операционные системы, аксессуары или PlayStation Network.)
My $15K PlayStation bug has finally been disclosed. My one and only tip is to read every single @taviso bug. This is essentially two of his public bugs chained together. https://t.co/0tQyJmn3q9
— Parsia Hakimian (@CryptoGangsta) December 4, 2020