Хакер Тэвис Орманди (Tavis Ormandy), который является сотрудником Google и членом команды Project Zero, изучающей сетевую безопасность, сделал заявление о том, что обнаружил критический недостаток в абсолютно всех играх Blizzard Entertainment. Благодаря этой уязвимости, миллионы компьютеров, принадлежащих геймерам, в течение некоторого времени были уязвимы к атакам злоумышленников с использованием специального эксплойта.
All Blizzard games (World of Warcraft, Overwatch, Diablo III, Starcraft II, etc.) were vulnerable to DNS rebinding vulnerability allowing any website to run arbitrary code. 🎮 https://t.co/ssKyxfkuZo
— Tavis Ormandy (@taviso) January 22, 2018
Суть уязвимости заключается в следующем. Все игры Blizzard устанавливаются и обновляются посредством утилиты Blizzard Update Agent, у которого «примерно 500 миллионов активных пользователей в месяц». Приложение запускает протокол удалённого вызова процедур JSON-RPC через HTTP-протокол на порту 1120 и принимает команды для установки, удаления, изменения настроек, обновления и прочих связанных с обслуживанием параметров. Чтобы избежать использования поддельных команд, Blizzard использует специальную схему проверки подлинности, с целью удостовериться, что RPC — это законный источник.
Орманди продемонстрировал, что Blizzard Update Agent уязвима для атаки DNS Rebinding, которая позволяет любому веб-сайту создавать DNS-адрес, с которым ей позволено взаимодействовать, а затем заставляет разрешить использование передаваемых команд на локальном узле. Локальная служба обновления Blizzard не может проверить, какое имя хоста запрашивает клиент, и отвечает на такие запросы. По сути, веб-сайт представляет собой мост между внешним сервером и локальным хостом. Это означает, что любой веб-сайт может отправлять привилегированные команды утилите обновления с использованием JavaScript.
Проще говоря, таким образом злоумышленники могли в любой момент отправлять нужные команды, за счёт чего получали возможность загружать на компьютеры жертв вредоносное ПО.
«Белый» хакер сообщил Blizzard о найденной уязвимости в декабре прошлого года. Какое-то время сотрудники компании поддерживали с ним связь, но позже перестали отвечать на сообщения. По словам эксперта, в версии клиента #5996 компания обеспечила лишь частичное исправление проблемы. Таким поведением они крайне разочаровали Орманди.
Однако, после обнародования информации представители Blizzard заявили, что на полноценное закрытие дыр в безопасности потребуется дополнительное время, хотя им было предложено «простое и элегантное решение». Разработчики ответили на сообщение Тэвиса и пообещали более серьёзные патчи, которые позволят приложению Blizzard связываться лишь с разрешёнными сайтами. В настоящее время они находятся на тестировании.
Никакой информации о том, что кто-то из злоумышленников успел воспользоваться эксплойтом, сотрудники Blizzard не предоставили.