ИБ-специалисты обнаружили уязвимости в механизме авторизации игровой платформы EA Origin. Злоумышленники могли воспользоваться багами, чтобы перехватить контроль над учетными записями, красть деньги пользователей и атаковать их друзей.

Предложенный сценарий предполагает эксплуатацию сразу двух уязвимостей — первая отвечает за перехват доступа к облачному домену, вторая позволяет манипулировать процессом сквозной авторизации. По словам исследователей, жертвами таких атак могли оказаться все пользователи EA Origin, то есть около 300 млн человек, причем взломщикам не понадобилось бы красть у них учетные данные.

Как пояснили исследователи, проблема связана с реализацией OAuth Single Sign-On, который предполагает, что все интернет-домены в инфраструктуре EA по умолчанию считаются благонадежными. В результате токен аутентификации с одного сайта можно использовать для авторизации на любом корпоративном ресурсе. Контролировать весь объем страниц EA непросто — некоторые из них запускаются под маркетинговые и прочие проекты, после чего владельцы площадки могут о ней забыть.

В случае облачных ресурсов подобная халатность чревата перехватом доменов посторонними. Даже после остановки веб-сервера в базе провайдера может остаться регистрационная запись, что позволяет злоумышленнику связать с ней свою страницу. В результате он будет получать все пользовательские запросы к якобы легитимной площадке.

Преступнику остается отправить жертвам ссылку на скомпрометированный ресурс, чтобы собрать их токены. После этого он сможет авторизоваться от их лица в Origin, установить собственный пароль, присвоить покупки пользователя и отправлять вредоносные сообщения его друзьям.

Эксперты доказали работоспособность метода на практике, установив контроль над IP-адресом в облаке Microsoft Azure, где до этого располагался один из сайтов EA. О применении багов в реальных атаках пока не сообщается.

Злоумышленники могут атаковать игровые аккаунты для последующей перепродажи на подпольных торговых площадках. По сообщениям СМИ, взломщики зарабатывают на таких схемах тысячи долларов в неделю при том, что стоимость одной учетной записи может не превышать пары десятков центов.

Ранее исследователи обнаружили серьезные уязвимости в игровом клиенте платформы GOG. Они угрожали выполнением стороннего кода на пользовательском компьютере, несанкционированным доступом к системным папкам и компрометацией корневой файловой системы.

Категории: Уязвимости