الخلل يسمح للهجوم على اللاعبين الأصل ، ويقول الباحثون الأمن

مستخدمي المنشور ، منصة توزيع الألعاب من Electronic Arts (EA) ، عرضة للهجمات بتنفيذ التعليمات البرمجية عن بعد من خلال الأصل: // URLs ، وفقا لباحثين أمنيين.

وكشف لويجي أوريماما ودوناتو فرانت ، مؤسسا شركة الاستشارات الأمنية المقيمة في مالطا ReVuln ، عن القضية الأمنية في الأسبوع الماضي خلال حديث في مؤتمر Black Hat Europe 2013 في أمستردام.

الضعف يتيح للمهاجمين تنفيذ أوامر تخريبية على مستخدمي الأصل. وقال الباحثون إنهم "يجرون الحواسيب عن طريق خداعهم لزيارة موقع خبيث أو النقر على رابط معد بشكل خاص. في معظم الحالات ، سيكون الهجوم أوتوماتيكيًا ولا يتطلب أي تفاعل من جانب المستخدم ، كما قالوا.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز الكمبيوتر الذي يعمل بنظام التشغيل Windows]

يسمح خيار سطر الأوامر بالتسلل

عند تثبيت برنامج العميل الأصلي على جهاز الكمبيوتر ، فإنه يسجل نفسه باعتباره المعالج للارتباطات الأصل: // البروتوكول ، والتي تستخدم لإطلاق الألعاب ، بما في ذلك مع خيارات سطر الأوامر ، أو لبدء إجراءات أخرى من خلال العميل.

بعض الألعاب لديها خيارات سطر الأوامر التي السماح بتحميل ملفات إضافية. على سبيل المثال ، أظهر الباحثون هجمة رابط الأصل ضد لعبة "Crysis 3" الجديدة ، التي تدعم خيار أمر يسمى openautomate.

Openautomate هي ميزة تسمح للمستخدمين باختبار أداء بطاقة الرسومات الخاصة بهم في "Crysis 3" باستخدام إطار معايير Nvidia. يتبع الأمر المسار إلى ملف DLL (مكتبة الارتباط الديناميكي) الذي تم تحميله بعد ذلك بواسطة عملية "Crysis 3".

وجد الباحثون طريقة لصياغة الأصل: // الروابط التي توعز إلى عميل المنشأ لفتح " Crysis 3 "باستخدام الأمر openautomate متبوعًا بمسار إلى ملف DLL ضار مستضاف على شبكة أو مشاركة WebDAV. يمكن تضمين خيار أمر منفصل في عنوان URL لجعل "Crysis 3" مفتوحًا بصمت في الخلفية دون رؤية المستخدمين لأي نوافذ.

يمكن للمهاجمين بعد ذلك خداع المستخدمين لزيارة موقع ويب يحتوي على جزء من شفرة جافا سكريبت يجبر متصفحاتهم على فتح الرابط المصمم خصيصًا.

عند فتح الرابط origin: // لأول مرة في المتصفح ، سيُطلب من المستخدمين ما إذا كانوا يريدون فتحه مع عميل Origin ، وهو المعالج المسجل لهذا النوع من URL. وقال الباحثون إن بعض المتصفحات ستعرض مسار URL الكامل أو جزء منه ، في حين أن المتصفحات الأخرى لن تعرض عنوان URL على الإطلاق.

توفر مطالبات التأكيد التي تعرضها المتصفحات للمستخدمين خيار فتح المصدر دائمًا: / / روابط مع عميل المنشأ. من المحتمل أن يكون معظم اللاعبين قد اختاروا هذا الخيار بالفعل حتى لا يضايقوا من محاولات التأكيد في كل مرة ينقرون فيها على رابط أصل ، مما يعني أن الهجوم سيكون شفافا تماما بالنسبة لهم.

على غرار عيب البخار

تكون الثغرة الأمنية متطابقة تقريبًا مع تلك التي وجدها نفس الباحثين في العام الماضي في منصة توزيع الألعاب على الإنترنت الخاصة بـ Steam التابع لشركة Valve. وقد سمح هذا الخلل بإساءة استخدام البخار / // بروتوكولات البروتوكول بنفس الطريقة

تم الإبلاغ عن ثغرة البخار في أكتوبر 2012 ولكن لم يتم إصلاحها بعد ، كما قال الباحثون. وقالوا ان اصلاحها ربما يتطلب تغييرات كبيرة في المنصة لانها ناتجة عن خلل في التصميم. لا يتوقع الباحثون أن تقوم EA بإصلاح مشكلة رابط الأصل في أي وقت قريب.

لا يقتصر الهجوم على "Crysis 3." وقال الباحثون إنه يعمل أيضا مع ألعاب أخرى لها سمات مشابهة في سطر الأوامر أو بعض نقاط الضعف المحلية. يوفر العيب بشكل أساسي طريقة لإساءة استخدام الميزات أو المشكلات الأمنية التي لا يمكن أن تتعرض إلا للهجمات المحلية.

لا يكشف Auriemma و Ferrante عن الثغرات التي يعثران عليها لموردي البرامج المتأثرين ، لذا لم ينبهوا EA حول الخلل قبل تقديمه على Black Hat.

نشر الباحثون ورقة بيضاء على موقعهم على الإنترنت تشرح القضية بمزيد من التفصيل وتقترح طريقة للتخفيف من الهجمات. يتضمن التخفيف استخدام أداة متخصصة تسمى urlprotocolview لتعطيل الأصل: // URL.

سيكون التأثير الجانبي للقيام بذلك هو أن إطلاق الألعاب باستخدام اختصارات سطح المكتب أو الملفات القابلة للتنفيذ لن يعمل بعد الآن. ومع ذلك ، سيظل المستخدمون قادرين على بدء الألعاب من داخل العميل الأصل.