Les chercheurs ont utilisé des schémas d'URL personnalisés pour obtenir XSS et une évasion de bac à sable
MIS À JOUR
UNE
exécution de code à distance
La vulnérabilité (RCE) dans l'application cliente d'Overwolf, la populaire plate-forme de développement de jeux, a été corrigée.
Le défaut critique (
CVE-2021-33501
), qui a un score CVSS de 9,6, provient de la façon dont Overwolf a mal géré les URL personnalisées utilisées par les applications Windows pour "exécuter une application installée particulière lorsqu'elle est invoquée", selon un
avis de sécurité
de SwordBytes Security.
Des attaquants non authentifiés peuvent réaliser un RCE sur des clients vulnérables en combinant un
reflété des scripts intersites
(XSS) bogue avec un échappement de bac à sable Chromium Embedded Framework (CEF).
Tenez-vous au courant des dernières nouvelles sur la sécurité des jeux
Overwolf
a été utilisé par environ 30 000 développeurs pour créer plus de 90 000 extensions pour des jeux comme Fortnite, Among Us et World of Warcraft.
israélien
la société mère Overwolf Ltd a récemment annoncé un
Injection de 52,5 millions de dollars
.
Problème sous-jacent
Les schémas d'URL personnalisés sont souvent utilisés pour accéder à une URL directement à partir du navigateur, ce que les attaquants peuvent atteindre "en redirigeant les utilisateurs valides vers un lien malveillant qui abuse du gestionnaire d'URL personnalisé d'Overwolf".
overwolfstore://
'," mentionné
Joël Noguera
, fondateur de SwordBytes et chercheur qui a découvert la vulnérabilité RCE.
Lorsque le client Overwolf est lancé, l'application CEF procède à l'analyse et à l'analyse de l'URL fournie pour déterminer quelle interface utilisateur doit être rendue, a déclaré Noguera.
Noguera, qui est basé à
Argentine
, a déclaré que les attaquants avaient carte blanche pour "créer différentes charges utiles qui peuvent produire des résultats inattendus" car "il n'y a aucune restriction sur les valeurs acceptées par [l'] application" lors du décodage des paramètres du schéma.
XSS réfléchi
Raconter le chemin de
XSS
, le chercheur a déclaré que lorsque la partie 'SECTION' de l'URL - généralement 'overwolfstore://app///' - est égale à 'apps'", le client Overwolf génère une requête principale avec la valeur 'CATEGORY' « pour tenter d'obtenir des informations sur l'extension invoquée ».
La 'UNEPECTED_VALUE' est reflétée dans le corps de la réponse dans le cadre d'un message d'erreur, et la
Type de contenu
" est réglé sur '
texte/html
', il a continué.
Reflétée dans le contexte de l'interface utilisateur d'Overwolf Store – « essentiellement un navigateur intégré Chromium (CEF) » – cette réponse signifie que « le contenu contrôlé sera injecté textuellement dans le DOM ».
Le XSS était possible, a conclu Noguera, en raison d'un "manque de désinfection de la valeur de la CATÉGORIE" et du me
ssage d'erreur back-end susmentionné.Échapper au bac à sable
Les chercheurs ont ensuite utilisé le JavaScript Overwolf
API
et le '
overwolf-extensions://
' pour échapper au bac à sable du CEF.
« Le principal processus du CEF, »
Overwolf Browser.exe
', s'exécute avec les indicateurs internes Overwolf activés (
--ow-enable-features
et
--ow-allow-internal
), permettant d'appeler des fonctions telles que "
overwolf.utils.
openUrlInDefaultBrowser
», a expliqué Noguera.
Et "si une valeur telle que '
calc.exe
' est fourni, un appel à '
Créer un processus
' sera fait, et le binaire '
calc.exe
' sera exécuté, permettant aux attaquants d'exécuter des commandes arbitraires ».
Les chercheurs ont ensuite exploité '
overwolf.io.
écrire le contenu du fichier
' pour écrire un fichier batch malveillant dans '
C:\windows\temp\
' qui a été exécuté via le '
openUrlInDefaultBrowser
' méthode pour atteindre le RCE.
"Les attaques en un clic nécessitent généralement que les attaquants incitent la victime à effectuer une interaction minimale", a déclaré Noguera.
La gorgée quotidienne
. « Dans ce cas particulier, les attaquants devraient convaincre l'utilisateur d'accepter que l'application Overwolf va être lancée.
« Il est facile de supposer qu'un simple clic ne représente pas un risque de sécurité, mais parfois ce n'est pas vraiment le cas. Une fois que cette action est autorisée par l'utilisateur, l'attaquant aurait le contrôle du code en cours d'exécution sur son système d'exploitation.
Calendrier de remédiation
SwordBytes a pris contact avec Overwolf Ltd le 10 mai et le fournisseur a publié un correctif résolvant le problème le 27 mai. SwordBytes a publié l'avis de sécurité le 31 mai.
La vulnérabilité est présente dans Overwolf Client 0.169.0.22, bien que l'avis note que « les versions antérieures peuvent également être affectées ».
La dernière version d'Overwolf, sortie fin mai, est
version 0.170
.
"Je tiens à souligner l'excellent travail accompli par Overwolf en corrigeant le bogue le plus rapidement possible", a déclaré Noguera. « Une fois les informations reçues, ils ont rapidement réagi et ont commencé à travailler sur un correctif pour protéger leurs utilisateurs. »
En réponse à une invitation à commenter davantage, Overwolf a simplement dit
La gorgée quotidienne
que le correctif ne nécessite aucun conseil supplémentaire aux utilisateurs.
Cet article a été mis à jour le 1er juin avec des commentaires de SwordBytes et Overwolf
N'OUBLIEZ PAS DE LIRE
Vulnérabilités EPUB : systèmes de lecture électronique criblés de failles de type navigateur
