Os pesquisadores usaram esquemas de URL personalizados para obter XSS e um escape de sandbox
ATUALIZADA
UMA
execução remota de código
A vulnerabilidade (RCE) no aplicativo cliente de Overwolf, a popular plataforma de desenvolvimento de jogos, foi corrigida.
A falha crítica (
CVE-2021-33501
), que tem uma pontuação de CVSS de 9,6, decorre de como Overwolf manipulou incorretamente URLs personalizados usados por aplicativos do Windows para "executar um determinado aplicativo instalado quando chamado", de acordo com um
aviso de segurança
da SwordBytes Security.
Os invasores não autenticados podem obter RCE em clientes vulneráveis, combinando um
script de cross-site refletido
(XSS) bug com um escape de sandbox do Chromium Embedded Framework (CEF).
Fique por dentro das últimas notícias sobre segurança de jogos
Overwolf
foi usado por cerca de 30.000 desenvolvedores para criar mais de 90.000 extensões para jogos, incluindo Fortnite, Between Us e World of Warcraft.
israelense
a controladora Overwolf Ltd anunciou recentemente um
Injeção de dinheiro de $ 52,5 milhões
.
Questão subjacente
Esquemas de URL personalizados são freqüentemente usados para navegar para um URL diretamente do navegador, o que os invasores podem conseguir “redirecionando usuários válidos para um link malicioso que abusa do manipulador de URL personalizado de Overwolf '
overwolfstore: //
'," disse
Joel Noguera
, Fundador do SwordBytes e pesquisador que descobriu a vulnerabilidade do RCE.
Quando o cliente Overwolf é iniciado, o aplicativo CEF prossegue para analisar e analisar a URL fornecida para determinar qual IU deve ser renderizada, disse Noguera.
Noguera, que está baseado em
Argentina
, disse que os invasores tinham rédea livre para “criar diferentes cargas úteis que podem produzir resultados inesperados” porque “não há restrição nos valores aceitos pelo [o] aplicativo” durante a decodificação dos parâmetros do esquema.
XSS refletido
Recontando o caminho para
XSS
, o pesquisador disse que quando a parte 'SECTION' do URL - geralmente 'overwolfstore: // app ///' - é igual a 'apps' ”, o Overwolf Client gera uma solicitação de back-end com o valor 'CATEGORY' “Na tentativa de obter informações sobre a extensão que está sendo invocada”.
O 'UNEXPECTED_VALUE' é refletido no corpo da resposta como parte de uma mensagem de erro, e o
Tipo de conteúdo
" está configurado para '
text / html
', Ele continuou.
Refletida no contexto da interface do usuário do Overwolf Store - “essencialmente um navegador incorporado do Chromium (CEF)” - esta resposta significa “o conteúdo controlado será injetado literalmente no DOM”.
O XSS foi possível, concluiu Noguera, por causa de uma “falta de higienização do
valor da CATEGORIA” e da mensagem de erro de back-end mencionada.Escapando da sandbox
Os pesquisadores então usaram o JavaScript Overwolf
API
e a '
overwolf-extensions: //
'esquema para escapar da sandbox CEF.
“O principal processo CEF, '
OverwolfBrowser.exe
', está sendo executado com os sinalizadores internos de Overwolf habilitados (
--ow-enable-features
e
--ow-allow-internal
), tornando possível chamar funções como “
overwolf.utils.
openUrlInDefaultBrowser
”, Explicou Noguera.
E “se um valor como '
calc.exe
'é fornecido, uma chamada para'
CreateProcess
'será feito, e o binário'
calc.exe
'será executado, permitindo que os atacantes executem comandos arbitrários ”.
Os pesquisadores então alavancaram '
overwolf.io.
writeFileContents
'para escrever um arquivo de lote malicioso para'
C: \ windows \ temp \
'que foi executado através do'
openUrlInDefaultBrowser
'método para atingir RCE.
“Ataques de um clique geralmente exigem que os invasores enganem a vítima para que ele execute uma interação mínima”, disse Noguera
The Daily Swig
. “Nesse caso específico, os invasores precisariam convencer o usuário a aceitar que o aplicativo Overwolf fosse iniciado.
“É fácil presumir que um simples clique não representa um risco de segurança, mas às vezes não é bem assim. Assim que essa ação for permitida pelo usuário, o invasor terá controle sobre o código que está sendo executado em seu sistema operacional. ”
Cronograma de remediação
A SwordBytes iniciou o contato com a Overwolf Ltd em 10 de maio, e o fornecedor lançou um hotfix que trata do problema em 27 de maio. A SwordBytes lançou o comunicado de segurança em 31 de maio.
A vulnerabilidade está presente no Overwolf Client 0.169.0.22, embora as notas de aviso de que “versões anteriores também possam ser afetadas”.
O último lançamento de Overwolf, lançado no final de maio, é
versão 0.170
.
“Quero destacar o excelente trabalho que Overwolf fez ao consertar o bug o mais rápido possível”, disse Noguera. “Assim que receberam as informações, eles reagiram rapidamente e começaram a trabalhar em um hotfix para proteger seus usuários”.
Em resposta a um convite para comentar mais, Overwolf simplesmente disse
The Daily Swig
que a correção não requer conselhos adicionais aos usuários.
Este artigo foi atualizado em 1º de junho com comentários de SwordBytes e Overwolf
NÃO SE ESQUEÇA DE LER
Vulnerabilidades EPUB: sistemas de leitura eletrônica crivados de falhas semelhantes às do navegador
