Flaw permite atacar a los gamers de Origin, investigadores de seguridad dicen que los

Luigi Auriemma y Donato Ferrante, fundadores de la consultora de seguridad con sede en Malta ReVuln, divulgaron el tema de seguridad la semana pasada durante una conferencia en la conferencia Black Hat Europe 2013 en Amsterdam.

La vulnerabilidad permite a los atacantes ejecutar código arbitrario en usuarios de Origin "Las computadoras engañando a visitar un sitio web malicioso o hacer clic en un enlace especialmente diseñado", dijeron los investigadores. En la mayoría de los casos, el ataque será automático y no requiere interacción del usuario, dijeron.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

La opción de línea de comando permite la intrusión

Cuando se instala el cliente Origin en una computadora, se registra como el controlador para los enlaces de protocolo de origen: //, que se utilizan para iniciar juegos, incluso con opciones de línea de comando, o para iniciar otras acciones a través del cliente. Algunos juegos tienen opciones de línea de comando que Permitir la carga de archivos adicionales. Por ejemplo, los investigadores demostraron el ataque de enlace de origen contra el nuevo juego "Crysis 3", que admite una opción de comando llamada openautomate.

Openautomate es una función que permite a los usuarios probar el rendimiento de su tarjeta gráfica en "Crysis 3" utilizando el marco de referencia de Nvidia. El comando es seguido por la ruta a un archivo DLL (biblioteca de enlace dinámico) que luego es cargado por el proceso "Crysis 3".

Los investigadores encontraron una forma de crear origen: // enlaces que instruyen al cliente de Origin para abrir " Crysis 3 "con el comando openautomate seguido de una ruta a un archivo DLL malicioso alojado en una red o compartido de WebDAV. Se puede incluir una opción de comando separada en la URL para hacer que "Crysis 3" se abra silenciosamente en el fondo sin que los usuarios vean ventanas.

Los atacantes podrían engañar a los usuarios para que visiten un sitio web que contiene un código JavaScript que obliga a los navegadores a abra el enlace especialmente diseñado.

Cuando un enlace de origen: // se abre por primera vez en un navegador, se le preguntará a los usuarios si desean abrirlo con el cliente de Origin, que es el controlador registrado para este tipo de URL. Algunos navegadores mostrarán la ruta completa de la URL o una parte de ella, mientras que otros navegadores no mostrarán la URL en absoluto, dijeron los investigadores.

Las indicaciones de confirmación mostradas por los navegadores brindan a los usuarios la opción de abrir siempre el origen: / / enlaces con el cliente de origen. La mayoría de los jugadores probablemente ya hayan seleccionado esta opción para que no se molesten con los diálogos de confirmación cada vez que hagan clic en un enlace de origen, lo que significa que para ellos el ataque será completamente transparente, dijeron los investigadores.

Similar a Steam flaw

La vulnerabilidad es casi idéntica a la encontrada por los mismos investigadores el año pasado en la plataforma de distribución de juegos en línea de Valve. Esa falla permitió el abuso de vapor: // enlaces de protocolo de la misma manera.

La vulnerabilidad de Steam se informó en octubre de 2012, pero aún no se ha resuelto, dijeron los investigadores. Arreglarlo probablemente requeriría cambios considerables en la plataforma porque es el resultado de una falla de diseño, dijeron. Los investigadores tampoco esperan que EA solucione el problema del enlace de origen en el corto plazo.

El ataque no se limita a "Crysis 3". También funciona para otros juegos que tienen características de línea de comando similares o algunas vulnerabilidades locales, dijeron los investigadores. El error esencialmente proporciona una forma de abusar remotamente de características o problemas de seguridad que de otra manera solo estarían expuestos a los ataques locales, dijeron.

Auriemma y Ferrante nunca revelan las vulnerabilidades que encuentran a los proveedores de software afectados, por lo que no alertaron a EA sobre la falla antes de presentarla en Black Hat.

Los investigadores publicaron un libro blanco en su sitio web que explica el problema con más detalle y propone una forma de mitigar los ataques. La mitigación implica el uso de una herramienta especializada llamada urlprotocolview para deshabilitar el origen: // URL.

El efecto secundario de hacer esto será que el lanzamiento de juegos usando los atajos de escritorio o sus archivos ejecutables ya no funcionará. Sin embargo, los usuarios aún podrán iniciar los juegos desde el cliente de Origin.