Los investigadores utilizaron esquemas de URL personalizados para lograr XSS y un escape sandbox
ACTUALIZADO
A
ejecución remota de código
(RCE) se corrigió la vulnerabilidad en la aplicación cliente de Overwolf, la popular plataforma de desarrollo de juegos.
El defecto crítico (
CVE-2021-33501
), que tiene una puntuación CVSS de 9,6, se debe a cómo Overwolf manejó mal las URL personalizadas utilizadas por las aplicaciones de Windows para "ejecutar una aplicación instalada en particular cuando se invoca", según un
aviso de seguridad
de SwordBytes Security.
Los atacantes no autenticados pueden lograr RCE en clientes vulnerables combinando un
scripts de sitios cruzados reflejados
(XSS) con un escape de sandbox de Chromium Embedded Framework (CEF).
Póngase al día con las últimas noticias sobre seguridad en juegos
Overwolf
ha sido utilizado por alrededor de 30,000 desarrolladores para crear más de 90,000 extensiones para juegos, incluidos Fortnite, Among Us y World of Warcraft.
israelí
La empresa matriz Overwolf Ltd anunció recientemente una
$ 52,5 millones de inyección de efectivo
.
Problema subyacente
Los esquemas de URL personalizados se utilizan a menudo para navegar a una URL directamente desde el navegador, lo que los atacantes pueden lograr "redirigiendo a los usuarios válidos a un enlace malicioso que abusa del controlador de URL personalizado de Overwolf".
overwolfstore: //
'," dijo
Joel Noguera
, Fundador de SwordBytes e investigador que descubrió la vulnerabilidad RCE.
Cuando se lanza el cliente Overwolf, la aplicación CEF procede a analizar y analizar la URL proporcionada para determinar qué interfaz de usuario debe renderizarse, dijo Noguera.
Noguera, que tiene su sede en
Argentina
, dijo que los atacantes tenían rienda suelta para "crear diferentes cargas útiles que pueden producir resultados inesperados" porque "no hay restricciones sobre los valores aceptados por [la] aplicación" durante la decodificación de los parámetros del esquema.
XSS reflejado
Contando el camino hacia
XSS
, el investigador dijo que cuando la porción 'SECCIÓN' de la URL, generalmente 'overwolfstore: // app ///' - es igual a 'aplicaciones' ”, Overwolf Client genera una solicitud de back-end con el valor 'CATEGORY' “En un intento de obtener información sobre la extensión que se invoca”.
El 'UNEXPECTED_VALUE' se refleja en el cuerpo de la respuesta como parte de un mensaje de error, y el
Tipo de contenido
" se establece en '
texto / html
', él continuó.
Reflejada en el contexto de la interfaz de usuario de la tienda Overwolf, "esencialmente un navegador integrado de Chromium (CEF)", esta respuesta significa que "el contenido controlado se inyectará literalmente en el DOM".
El XSS fue posible, concluyó Noguera, deb
ido a una “falta de saneamiento del valor de la CATEGORÍA” y el mensaje de error de back-end antes mencionado.Escapar de la caja de arena
Luego, los investigadores usaron el JavaScript Overwolf
API
y el '
extensiones-overwolf: //
'esquema para escapar de la caja de arena CEF.
“El proceso principal de CEF, '
OverwolfBrowser.exe
', se está ejecutando con las banderas internas Overwolf habilitadas (
--ow-enable-features
y
--ow-allow-internal
), lo que permite llamar a funciones como "
overwolf.utils.
openUrlInDefaultBrowser
”, Explicó Noguera.
Y "si un valor como '
calc.exe
'se proporciona, una llamada a'
Proceso de creación
'se hará, y el binario'
calc.exe
'se ejecutará, lo que permitirá a los atacantes ejecutar comandos arbitrarios ”.
Luego, los investigadores aprovecharon '
overwolf.io.
writeFileContents
'para escribir un archivo por lotes malicioso en'
C: \ windows \ temp \
'que fue ejecutado a través del'
openUrlInDefaultBrowser
'método para lograr RCE.
"Los ataques con un solo clic generalmente requieren que los atacantes engañen a la víctima para que realice una interacción mínima", dijo Noguera.
El trago diario
. “En este caso particular, los atacantes tendrían que convencer al usuario de que acepte que se lanzará la aplicación Overwolf.
“Es fácil asumir que un simple clic no representa un riesgo de seguridad, pero a veces ese no es realmente el caso. Una vez que el usuario permite esa acción, el atacante tendría control sobre el código que se ejecuta en su sistema operativo ".
Cronograma de remediación
SwordBytes inició el contacto con Overwolf Ltd el 10 de mayo y el proveedor publicó una revisión que aborda el problema el 27 de mayo. SwordBytes publicó el aviso de seguridad el 31 de mayo.
La vulnerabilidad está presente en Overwolf Client 0.169.0.22, aunque el aviso señala que "las versiones anteriores también podrían verse afectadas".
El último lanzamiento de Overwolf, publicado a finales de mayo, es
versión 0.170
.
“Quiero resaltar el gran trabajo que hizo Overwolf al arreglar el error lo antes posible”, dijo Noguera. "Una vez que recibieron la información, reaccionaron rápidamente y comenzaron a trabajar en una revisión para proteger a sus usuarios".
En respuesta a una invitación para comentar más, Overwolf simplemente dijo
El trago diario
que la corrección no requiere ningún consejo adicional para los usuarios.
Este artículo se actualizó el 1 de junio con comentarios de SwordBytes y Overwolf.
NO OLVIDES LEER
Vulnerabilidades de EPUB: sistemas de lectura electrónicos plagados de fallas similares a las de los navegadores
