Week 1, continued
Sadržaj:
- Kada je instaliran Origin klijent na računalu se registrira kao rukovatelj za porijeklo: // veze protokola, koje se koriste za pokretanje igara, uključujući opcije naredbenog retka, ili za pokretanje drugih radnji putem klijenta.
- Ranjivost je gotovo identična onoj koju su istraživači našli prošle godine u Valveovoj platformi za distribuciju igre na Steamovoj mreži. Taj je nedostatak dopuštao zlouporabu pare: // protokola na isti način.
Luigi Auriemma i Donato Ferrante, utemeljitelji sigurnosne konzultantske tvrtke ReVuln sa sjedištem u Malti, objavili su sigurnosni problem prošlog tjedna tijekom razgovora na konferenciji Black Hat Europe 2013 u Amsterdamu.
Ranjivost omogućuje napadačima izvršavanje proizvoljnog koda za korisnike podrijetla 'računala trgajući ih u posjete zlonamjernoj web stranici ili klikom na posebno izrađene veze, rekli su istraživači.
[Daljnje čitanje: Kako ukloniti zlonamjerni softver s računala sa sustavom Windows]
Opcija naredbene linije omogućuje preklapanjeKada je instaliran Origin klijent na računalu se registrira kao rukovatelj za porijeklo: // veze protokola, koje se koriste za pokretanje igara, uključujući opcije naredbenog retka, ili za pokretanje drugih radnji putem klijenta.
Neke igre imaju opcije naredbenog retka koje dopustite učitavanje dodatnih datoteka. Na primjer, istraživači su pokazali da je izvor povezan s napadom na novu igru "Crysis 3" koja podržava opciju naredbe nazvanu openautomate.
Openautomate je značajka koja korisnicima omogućuje testiranje performansi grafičke kartice u "Crysis 3" koristeći Nvidia referentni okvir. Naredbu slijedi put do datoteke DLL (dynamic link library) koja se zatim učitava pomoću procesa "Crysis 3".
Istraživači su pronašli način izrade podrijetla: // linkova koji upućuju klijenta Origin da otvori " Crysis 3 "s openautomate naredbom nakon čega slijedi put do zlonamjerne DLL datoteke domaćin na mreži ili WebDAV udio. Zasebna opcija naredbe može biti uključena u URL kako bi se "Crysis 3" otvorilo tiho u pozadini bez da korisnici vide bilo koji prozor.
Napadači su tada mogli prevesti korisnike u posjetu web stranici koja sadrži komad JavaScript koda koji prisiljava preglednike da otvorite posebno izrađenu vezu.
Kada se po prvi put otvore izvor: // link u pregledniku, korisnici će se pitati žele li ih otvoriti s klijentom Origin, koji je registrirani vodič za ovu vrstu URL. Neki će preglednici prikazati cijeli URL ili neki dio URL-a, dok ostali preglednici uopće neće prikazivati URL.
Potvrde o upitima koje korisnici prikazuju nude korisnicima mogućnost da uvijek otvore porijeklo: / / veze s klijentom Origin. Većina igrača vjerojatno je već odabrala ovu opciju, tako da oni ne smetaju dijalozima za potvrđivanje svaki put kad kliknu na vezu s podrijetlom, što znači da će napad biti potpuno transparentan, navode istraživači.
Slično parničnom pukotinu
Ranjivost je gotovo identična onoj koju su istraživači našli prošle godine u Valveovoj platformi za distribuciju igre na Steamovoj mreži. Taj je nedostatak dopuštao zlouporabu pare: // protokola na isti način.
Steamova ranjivost prijavljena je u listopadu 2012, ali još nije riješena, rekli su istraživači. Učvršćivanje vjerojatno bi zahtijevalo znatne promjene na platformi, budući da proizlazi iz nedostatka dizajna, rekli su. Istraživači ne očekuju da će EA uskoro riješiti problem vezanosti za podrijetlo.
Napad nije ograničen samo na "Crysis 3." Također radi za druge igre koje imaju slične značajke naredbenog retka ili neke lokalne ranjivosti, rekli su istraživači. Ovaj nedostatak u biti omogućava daljnje zlouporabe zlonamjernih značajki ili sigurnosnih problema koji bi inače bili izloženi lokalnim napadima, rekli su.
Auriemma i Ferrante nikada ne otkrivaju ranjivosti koje su pronašli pogođenim dobavljačima softvera pa nisu upozoravali EA o nedostatku prije nego što ga predstavite na Black Hatu.
Istraživači su na svojoj web stranici objavili bijeli papir koji detaljnije objašnjava problem i predlaže način ublažavanja napada. Ublažavanje uključuje upotrebu specijaliziranog alata koji se zove urlprotocolview da biste onemogućili podrijetlo: // URL.
Nuspojava ovog događaja jest da će pokretanje igara pomoću prečaca na radnoj površini ili njihovih izvršnih datoteka više neće raditi. Međutim, korisnici će i dalje moći pokrenuti igre iz klijenta izvornosti.
DNS propust omogućuje napadaču izvršavanje napada trovanja u predmemoriji, gdje se promet do legitimnog naziva domene preusmjerava na zlonamjeran nakon napada na DNS poslužitelj. Korisnik može upisati točan naziv web stranice, ali umjesto toga dobit će lažni, što može omogućiti napad krađe identiteta. Iako neki korisnici mogu primijetiti da li su usmjereni na neobičnu web stranicu, mnogi bi ljudi mogli biti prevareni.
[Više čitanje: Kako ukloniti zlonamjerni softver s vašeg Windows računala]
Sigurnosni istraživači su otkrili da je Conficker crv ažuriran kako bi ga se teže borili, a također ima za cilj uložiti više računala (očito, 3 milijuna do 12 milijuna nije dovoljno). Dok prodavači sigurnosti nastoje spriječiti crv, analitičari tvrde da Sunce vjerojatno neće odbiti druge suputnike sada kada je odbacio IBM. Veliki potres u središnjoj Italiji naglasio je još jednom kako važna mobilna komunikacija i internet pomažu preživjelima da se žale za pomoć i dobivanje informacija. Conficker
[Daljnje čitanje: Kako za uklanjanje zlonamjernog softvera s vašeg Windows računala]
U našem testu napada u stvarnom svijetu , Kaspersky je potpuno blokirao 94,4 posto napada. Nažalost, 5.6 posto napada koje nije uspjelo blokirati uopće nisu bile blokirane - drugim riječima, naš testni sustav je zaražen 5.6 posto vremena. Testiranje na stvarnom svijetu pokazuje koliko dobro apartman može blokirati potpuno nove napada sa zlonamjernim softverom, jer ih se susreće u divljini, pa to nije veliki znak. Kasperskyjev apartman je mogao otkriti 98,1 posto poznatih uzorke zlonamjernog soft
[Daljnje čitanje: Kako ukloniti zlonamjerni softver s vašeg Windows računala]