27 jun. 2019

Vulnerabilidad en la plataforma de videojuegos de EA Origin expuso los datos de 300 millones de usuarios

Una serie de vulnerabilidad en la tienda digital de juegos Origin, desarrollado por la compañía estadounidense Electronic Arts (EA), habría expuesto las cuentas de 300 millones de jugadoresde todo el mundo al control de los cibercriminales, según revelaron las firmas de seguridad informática Check Point Research y CyberInt. La falla detectada en Origin le permitió a los ciberdelincuentes capturar la sesión de un jugador, comprar y hasta jugar a juegos en PC y móviles, entre los que se encuentran títulos como FIFA, Sims, Battlefield, NBA Live, UFC, Madden NFL y Anthem, entre otros.
Los investigadores detectaron que las vulnerabilidades descubiertas no requerían que el usuario aportase ningún tipo de información de acceso, como explica la compañía en un comunicado. En su lugar, estos fallos aprovechaban subdominios abandonados y el uso de tokens de autenticación de EA Games junto con el sistema de autenticación Single OAuth Sign-On (SSO) y TRUST, los cuales forman parte del proceso de inicio de sesión de usuario en la plataforma. Una vez explotadas, estas vulnerabilidades permiten a los ciberatacantes hacerse con el control de millones de cuentas de usuarios de todo el mundo, así como robar información y utilizar las credenciales guardas en los perfiles para realizar compras con la moneda virtual de la plataforma.

Por su parte, los investigadores de CyberInt y Check Point señalaron que informaron esta serie de vulnerabilidades a EA, y que se está trabajando en una actualización de seguridad para protegerse frente a estas amenazas. No obstante, aconsejaron a los usuarios de Origin que habiliten la autenticación de dos factores y que sólo utilicen el sitio web oficial para descargar o comprar juegos.

Los investigadores encadenaron dos vulnerabilidades en la plataforma de juegos Electronic Arts (EA) y desarrollaron un ataque de prueba de concepto que permitió posibles tomas de cuenta. Un ataque exitoso podría permitir a un actor malintencionado obtener acceso a la cuenta de un usuario y robar información de la tarjeta de crédito o comprar fraudulentamente dinero en el juego, según un informe publicado el miércoles.

La vulnerabilidad afectó específicamente a la plataforma de juegos de clientes Origin de EA. Origin es una parte integral de la plataforma de juegos en línea de EA, que permite a los usuarios encontrar amigos, unirse a juegos y administrar sus perfiles. También permite que los jugadores compren y jueguen juegos de EA en PC y plataformas móviles, y se integra con servicios como Facebook, Xbox Live, PlayStation Network y Nintendo Network.

Se han implementado medidas para mitigar la vulnerabilidad, pero el error podría haber afectado a los 90 millones de usuarios de EA de la plataforma de juegos cuyos títulos incluyen FIFA, Maden NFL y Medal of Honor, según investigadores de Check Point Research y CyberInt que colaboraron en el informe de la investigación. .

Abrir la puerta al ataque de prueba de concepto (PoC) de dos etapas es el abuso por parte de EA de un subdominio abandonado (ea-invite-reg.azurewebsites.net) originalmente vinculado a un servidor de aplicaciones web. Esa URL fue utilizada accidentalmente por EA, ya que redirigía el tráfico a uno de los servidores de registro de usuarios de la compañía (eaplayinvite.ea.com).

"El redireccionamiento CNAME de eaplayinvite.ea.com nos permitió crear una nueva solicitud de registro exitosa en nuestra propia cuenta de Azure y registrar ea-invite-reg.azurewebsites.net como nuestro nuevo servicio de aplicación web. Esto nos permitió, en esencia, secuestrar el subdominio de eaplayinvite.ea.com y monitorear las solicitudes hechas por usuarios válidos de EA", dijeron los investigadores.

Eso abre la puerta para la segunda etapa del ataque, que aprovecha el uso de los tokens de autenticación de EA en conjunto con el inicio de sesión único (SSO) de oAuth y el mecanismo de CONFIANZA incorporado en el proceso de inicio de sesión de los usuarios de EA, según los investigadores.

"Tener el control sobre el subdominio eaplayinvite.ea.com llevó a nuestro equipo de investigación a una nueva meta de descubrir cómo podemos abusar del mecanismo de confianza. Este mecanismo existe entre los dominios ea.com y origin.com y sus subdominios. Abusar con éxito del mecanismo permitió a nuestro equipo de investigación manipular la implementación del protocolo oAuth para una explotación completa de la toma de control de la cuenta".

OAuth es un protocolo de autorización comúnmente usado. OAuth emite tokens de acceso a los clientes por parte de un servidor y actúa como un método descentralizado para permitir a los usuarios utilizar la misma identidad digital en Internet. Es posible que, junto con OpenID, se conozca mejor como la forma más fácil para que los usuarios inicien sesión en sitios con contraseñas de proveedores como Google o Twitter, sin tener que preocuparse por el uso de las credenciales del sitio principal.

Los investigadores dicen que existen paralelos con un problema similar al que Epic Games enfrentó en enero con su plataforma de juegos Fortnite. En ese caso, un mecanismo de inicio de sesión único de Fortnite con fugas podría haber permitido a los piratas informáticos acceder a las cuentas de juegos. Tanto en el caso de EA como en Epic Games, un atacante podría crear un enlace malicioso utilizando un subdominio legítimo para desencadenar el ataque exitoso.

Fuente: Threatpost

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!