500 Millionen Spieler von Blizzard-Computerspielen waren über Lücke angreifbar
Im Blizzard Update Agent klaffte eine Sicherheitslücke, über die Angreifer Schadcode auf Computer hätten ausführen können. Eine abgesicherte Version ist erschienen.
(Bild: Screenshot)
Alle Computerspiele von Activision Blizzard bringen den Blizzard Update Agent mit, der aufgrund einer Schwachstelle angreifbar war. Über das Schlupfloch hätten Angreifer aus der Ferne Schadcode auf Computern ausführen können. Auf die Lücke stieß der renommierte Sicherheitsforscher Tavis Ormandy von Googles Project Zero. Mittlerweile ist die Lücke geschlossen.
Das Tool nutzen monatlich 500 Millionen Nutzer aktiv, erklärt der Konzern. Activision Blizzard hat extrem erfolgreiche und somit weit verbreitetet Titel wie Diablo 3, Overwatch und World of Warcraft im Programm. Ob es bereits Angriffe auf die Lücke gegeben hat, ist derzeit nicht bekannt.
Authentifikation anfällig
Ormandy zufolge war der Update Agent für eine DNS-Rebinding-Attacke empfänglich. Der Agent setzt einen JSON-RPC-Server auf dem Localhost auf, der auf Port 1120 lauscht. Er nimmt beispielsweise Kommandos zum Installieren, Updaten und weiteren Wartungsoptionen entgegen. Das gelingt auch von Webseiten aus, wenn diese sich gegenüber dem Agent autorisieren können – hier kommt die Sicherheitslücke ins Spiel.
Für einen erfolgreichen Übergriff müssten Angreifer eine Domain und einen DNS-Server unter ihrer Kontrolle haben. Dann könnten sie die Seite mit einem bestimmten DNS-Namen ausstatten, um sich als Blizzard auszugeben. So vertraut der Update Agent der Seite. Anschließend müsste ein Opfer noch die präparierte Webseite besuchen, damit Angreifer privilegierte Kommandos an den Update Agent schicken können. Weitere Infos zum Angriff und ein Proof of Concept führt Ormandy im Chromium Bug Tracker aus.
"Bizzare Lösung"
Ormandy gibt an, Blizzard bereits Anfang Dezember vergangenen Jahres über die Lücke informiert zu haben. Das Unternehmen hat sich ihm zufolge auch zurückgemeldet, die Kommunikation Ende Dezember jedoch eingestellt.
In der Zwischenzeit bemerkte Ormandy, dass Blizzard den Agent in der Version 5996 klammheimlich gepatcht hat und die DNS-Rebinding-Attacke nicht mehr funktionierte. Um das zu erreichen, haben sie schlicht die ausführbaren Dateien von einigen Webbrowsern auf eine Blacklist gesetzt. Eine "bizzare Lösung" findet Ormandy.
Mittlerweile hat Blizzard wieder Kontakt zum Sicherheitsforscher aufgenommen und will die von ihm präferierte Methode einer Whitelist mit erlaubten Hostnamen als Patch umsetzen. Wann das soweit ist, ist derzeit noch unklar. (des)
