Тэвис Орманди (Tavis Ormandy), эксперт по кибербезопасности из Google, еще 8 декабря обнаружил критическую уязвимость в клиенте компании Blizzard, через который пользователи запускают и обновляют игры. После непродолжительной переписки с исследователем Blizzard прервала общение и, никого не уведомляя, закрыла уязвимость.

По данным компании-разработчика, приложением активно пользуются более 500 миллионов игроков World of Warcraft, Overwatch, Diablo 3, Hearthstone и Starcraft 2.

Игровой клиент запускает на компьютере игрока JSON-сервер, работающий с HTTP и портом 1120, и позволяет устанавливать, настраивать и обновлять игры.

Как обнаружил Орманди, этот клиент уязвим перед атаками типа DNS Rebinding, когда вредоносная веб-страница заставляет браузер жертвы запустить скрипт для обращения к другим сайтам и сервисам. Злоумышленники могли замаскировать любой домен под мост между сервером Blizzard и игровым клиентом и переслать под видом обновления вредоносный файл.

Несмотря на то что уязвимость обнаружили еще в начале декабря, закрыли ее только через три недели. При этом, как утверждает Орманди, инженеры Blizzard использовали для этого крайне неэффективный метод.

После выпущенного исправления клиент берет имя приложения, пересылающего команды серверу JSON RPC, вычисляет 32-битный хеш FNV-1а и сравнивает его с черным списком программ, которым запрещено обращаться к этому серверу.

В свою очередь Орманди предложил компании использовать белый список для имен хостов — более простое и очевидное решение, которое не требует постоянного обновления перечня запрещенных приложений. Однако Blizzard проигнорировала предложение эксперта. Впрочем, после того как Орманди отметил столь странный выбор компании, ее представители заявили, что уже работают над более эффективным исправлением.

На момент публикации Blizzard закрыла уязвимость в рамках самоустанавливающегося обновления. По словам представителя компании, конечным пользователям не нужно совершать каких-либо дополнительных действий, чтобы закрыть брешь.

Любители компьютерных игр уже не раз становились жертвами киберпреступников. Так, в 2017 году стало известно о взломе игровой сети ESEA, в результате которого были скомпрометированы данные 1,5 миллионов пользователей. В 2016 году под прицел злоумышленников попал популярный игровой сервис Steam — по данным самой компании, тогда преступники ежемесячно похищали конфиденциальные данные 77 тысяч человек.

Категории: Главное, Уязвимости