Los investigadores de seguridad descubrieron vulnerabilidades en la plataforma de juegos Origin de Electronic Arts (EA) que podrían haber permitido a un atacante hacerse cargo de las cuentas de hasta 300 millones de usuarios.
Para llevar a cabo este ataque, los atacantes solo habrían necesitado víctimas para hacer clic en un enlace de referencia legítimo a la plataforma de distribución de juegos Origin de EA.
Secuestrando un subdominio
Los investigadores de Check Point y CyberInt descubrieron lo que parece ser un descuido de la compañía de juegos, donde uno de sus subdominios se redirige a un host abandonado en el servicio de computación en la nube Azure de Microsoft que cualquiera puede registrar de forma gratuita.
"En general, cada servicio ofrecido por una empresa basada en la nube como EA Games se registra en una dirección de subdominio única, por ejemplo, eaplayinvite.ea.com, y tiene un puntero de DNS (registro A o CNAME) para un host de proveedor de nube específico , ea-invite-reg.azurewebsites.net, que ejecuta el servicio deseado en segundo plano, en este caso, un servidor de aplicaciones web ".
Como ya no estaba en uso, los investigadores pudieron registrar "ea-invite-reg.azurewebsites.net" como el nombre de su propio servicio de aplicación web en Azure. Dado que el registro CNAME todavía estaba activo, los investigadores recibieron todas las solicitudes realizadas por los usuarios de EA a través de "eaplayinvite.ea.com".
Limitaciones de bypass
Sin embargo, secuestrar el subdominio no fue suficiente para llevar a cabo el ataque de toma de control de la cuenta, pero ayudó a los investigadores a buscar una manera de aprovechar este tipo de acceso de una manera que beneficiara a un pirata informático.
Al observar la implementación de EA para el mecanismo de inicio de sesión único (SSO) responsable del manejo de la autenticación en los servicios en línea de EA, los investigadores pudieron conocer cómo funcionaba.
"Como parte de un proceso de autenticación exitoso con los servicios globales de EA a través de answers.ea.com, se envía una solicitud HTTP de oAauth a accounts.ea.com para obtener un nuevo token SSO de usuario, luego la aplicación debe redirigirlo a través del inicio de sesión. ea.com para el servicio final de EA llamado answers.ea.com para identificar al usuario ", explica Check Point en un análisis técnico del ataque.
Al modificar el parámetro "returnURI" en la solicitud HTTP al subdominio secuestrado, fue posible conocer la dirección del servicio de EA para la cual se generó el token de SSO.
Sin embargo, la manipulación de las solicitudes para obtener el token enviado al dominio secuestrado no funcionó, debido a algunas implementaciones de seguridad por parte de EA.
Uno de ellos fue verificar si la solicitud provenía de un dominio de Origen de confianza mirando el encabezado del referente HTTP. Para omitir esta validación es necesario incrustar un iframe con un dominio de confianza para iniciar la solicitud de autenticación.
Otra limitación fue una función jQuery involucrada en el proceso de redirección de token. A menos que el servidor de destino, "eaplayinvite.com" en este caso, sea de confianza, la redirección del token falla.
Los investigadores encontraron que una solicitud para signin.ea.com contenía el parámetro "redirectback". El efecto fue una redirección de los jugadores de EA autenticados al servidor de los investigadores sin el token de SSO de la víctima; pero esto permitió el registro de solicitudes entrantes, que incluía el token de acceso en el valor del referente HTTP.
Armado con el valor de autenticación, un atacante podría acceder a las cuentas de usuario de EA como si fueran los propietarios. Esto también permite robar el ID de sesión de la víctima y usarlo con las credenciales del hacker para omitir la autenticación y comprar bienes virtuales con la tarjeta de pago de la víctima.
Fecha actualización el 2021-06-26. Fecha publicación el 2019-06-26. Categoría: vulnerabilidad Autor: Oscar olg Mapa del sitio Fuente: bleepingcomputer Version movil