游戏平台存有太多敏感客户数据,渐成黑客眼中肥肉。
EA Games 曝出漏洞,黑客可利用该漏洞劫持注册玩家账户,悄悄获取完全访问及控制权,或迫使玩家与黑客互动。受影响账户数达 3 亿。
以色列网络安全公司 CyberInt 和 Check Point 发现,他们可以操纵 EA Games 的域名注册方式,劫持微软 Azure 云中的子域名以完全接管玩家账户。
EA Game 为美国艺电公司旗下最主要的品牌,盈利估值约 50 亿美元,开发、售卖、托管着游戏界耳熟能详的几大经典,比如运动类游戏《FIFA》、《疯狂橄榄球》(Madden)、《NBA》和第一人称射击 (FPS) 游戏《战地》(Battlefield)、《荣誉勋章》(Medal of Honor) 等。《所有这些著名的游戏都通过 EA Games 的数字分发平台 Origin 发售。
Origin 游戏平台兼具社交功能,账户持有者可通过聊天应用或直接加入游戏会话与朋友联系。该平台还与 Facebook、Xbox Live、Play Station Network 和任天堂网络 (Nintendo Network) 等多个社交网站进行了社区集成。
研究人员发现的漏洞可使黑客通过逐级利用漏洞来最终获取用户的单点登录 (SSO) 凭证。
Check Point 向 EA Games 披露了该安全问题,并正在与之合作修复此漏洞。
艺电游戏与平台安全高级总监 Adrian Stone 在电子邮件声明中表示:
保护玩家是我们的当务之急。接到 CyberInt 和 Check Point 的报告后,我们启动了产品安全响应过程以缓解该问题。在协同漏洞披露原则下合作促进了我们与广大网络安全社区的紧密联系,是确保玩家安全的重要组成部分。
逐级利用漏洞黑掉 EA Games
EA Games 平台采用多个不同域名运营其服务,比如 ea.com 和 origin.com,后者即为 EA 数字商店。两个域名都可登录 EA 账户。
EA Games 之类云服务会将子域名地址注册到特定云提供商的托管主机上,比如 eaplayinvite.ea.com 的 DNS 指针就指向主机列表 ea-invite-reg.azurewebsites.net ——当时正在后台运行该服务。
EA Games 采用微软 Azure 托管其包括 ea.com 和 origin.com 在内的多个域名,Azure 用户账户持有者可以申请注册特定服务名来关联域名与子域名。
CyberInt 在对 EA 平台的调查中发现,ea-invite-reg.azurewebsites.net 服务在 Azure 云服务中已不再使用,然而该特定子域名 eaplayinvite.ea.com 依然通过 CNAME 配置重定向到此服务。
我们可以用我们自己的 Azure 账户发起新的注册申请,将 ea-invite-reg.azurewebsites.net 成功注册为我们的 Web 应用服务。因为 CNAME 配置依然将 eaplayinvite.ea.com 重定向到 ea-invite-reg.azurewebsites.net,我们基本上就相当于劫持了 eaplayinvite.ea.com 的子域名,可以监视 EA 用户提交的请求。
eaplayinvite.ea.com 的 DNS 指针指向 CNAME 记录 ea-invite-reg.azurewebsites.net
于是,研究人员切实劫持了域名信息重定向,而 eaplayinvite.ea.com 域名被重定向到了他们的 Azure 云 Web 服务账户。
再通过一系列步骤,攫取 SSO 凭证并不是什么难事。Check Point 也确实这么做了。他们修改了某用户发向被劫持 EA 子域名的 HTTP 请求中 *returnURI* 参数。该公司在被劫持子域名索引页中插入了一个 Iframe 内联框架,让请求从该 Iframe 发起,以此绕过服务器 HTTP Referer 头验证。
Check Point 产品漏洞研究主管 Oded Vanunu 在电子邮件声明中评论道:EA 的 Origin 平台非常流行,如果不修复,这些漏洞可致数百万用户被黑客劫持利用。
再加上我们最近在 Epic Games 第三人称射击游戏《堡垒之夜》 (Fortnite) 所用平台中发现的那些漏洞,在线应用和云应用的脆弱性可见一斑。因为存有太多敏感客户数据,这些平台在黑客眼中越来越诱人。
Check Point 漏洞通报原文:
https://research.checkpoint.com/ea-games-vulnerability/
相关阅读