Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Blizzard werkt aan patch voor lek in updater dat websites code laat uitvoeren

Blizzard werkt aan een patch voor een door Google gevonden lek, dat volgens de ontdekker een website in staat stelt code uit te voeren met behulp van de Blizzard Update Agent. Een soortgelijk lek kwam onlangs in de torrentclient Transmission voor.

Dat lek werd gevonden door Google-onderzoeker Tavis Ormandy, die ook voor de ontdekking van het huidige lek verantwoordelijk is. Net als bij Transmission, maakt de onderzoeker gebruik van dns rebinding om zijn aanval uit te voeren. De Blizzard-updater accepteert namelijk rpc-commando's op localhost om bijvoorbeeld installaties en andere wijzigingen uit te voeren.

Door een doelwit dat de software heeft geÔnstalleerd naar een speciale website te lokken, is het volgens Ormandy mogelijk om via die site met localhost te communiceren om zo commando's uit te voeren en bijvoorbeeld een exploit te downloaden. Ormandy heeft een proof-of-concept gepubliceerd.

Hij meldde het lek in december aan een bekende van hem bij Blizzard, zodat het 'in de juiste handen terecht zou komen'. In zijn bugrapportage uit Ormandy zijn ongenoegen over het feit dat Blizzard eind december stopte met communiceren en een in zijn ogen ontoereikende patch had doorgevoerd. Blizzard heeft inmiddels echter gereageerd en zegt dat het nog geen patch beschikbaar heeft gemaakt, maar dat het een oplossing in de vorm van een host header whitelist aan het afronden is.

De Project Zero-onderzoeker meldt via Twitter dat hij van plan is om ook andere games met veel spelers onder de loep te nemen. Hetzelfde zei hij over bittorrentclients, maar het is nog wachten op resultaten omdat Googles beveiligingsteam een deadline van negentig dagen hanteert.

Door

Nieuwsredacteur

10 Linkedin Google+

Submitter: _David_

Reacties (10)

Wijzig sortering
Een woordje meer uitleg over DNS rebinding :
DNS rebinding is a form of computer attack. In this attack, a malicious web page causes visitors to run a client-side script that attacks machines elsewhere on the network. In theory, the same-origin policy prevents this from happening: client-side scripts are only allowed to access content on the same host that served the script. Comparing domain names is an essential part of enforcing this policy, so DNS rebinding circumvents this protection by abusing the Domain Name System (DNS).

This attack can be used to breach a private network by causing the victim's web browser to access machines at private IP addresses and return the results to the attacker. It can also be employed to use the victim machine for spamming, distributed denial-of-service attacks or other malicious activities.
bron: https://en.wikipedia.org/wiki/DNS_rebinding
Tavis spreekt echter in verleden tijd, betekenend dat het probleem al opgelost zou zijn, hier wordt gesproken dat het nog opgelost moet worden.

https://twitter.com/taviso/status/955540415263907840
Hij dacht toen hij de tweet schreef dat Blizzard al een patch had uitgebracht in de vorm van een blacklist. Als je naar het laatste bericht in deze thread kijkt, dan zie je dat Blizzard bezig is met QA voor oplossing. https://bugs.chromium.org...ues/detail?id=1471&desc=3
Dit kan moeilijk als verrassing komen aangezien het overduidelijk is dat Blizzard aan de hand van P2P werkt om de updates van hun games te faciliteren.
Is het whitelisten van adressen echter de enige manier om dit probleem aan te pakken? Want voor Blizzard is dat misschien een goeie oplossing, maar voor het gebruik van P2P netwerken in het wild (met alle legale en illegale toepassingen van dien) wordt het whitelisten van clients natuurlijk onmogelijk.
idealiter zou DNS rebinding gewoon niet moeten kunnen op windows machines en zou Microsoft het probleem aanpakken bij de wortel: hun DNS implementatie.

Er zijn inderdaad andere oplossingen te bedenken: gebruik van je localhost applicatie authenticeren in plaats van gewoon vertrouwen.

In het geval van blizzard hebben ze een centrale server die in principe altijd de afkomst kan een commando zou moeten zijn, dus kiezen ze er blijkbaar voor om te controleren of het commando van een van die servers afkomt. Waarom dat echter 90 dagen + 2 weken moet duren is natuurlijk een ander verhaal.
Leg mij eens uit hoe dit de schuld is van Microsoft?

Als een DNS server 127.0.0.1 teruggeeft als ip adres voor een bepaalde host, waarom is Microsoft dan ineens in de fout. Wat zou volgens jou dan wel een correcte aanpak zijn die Microsoft zou moeten implementeren? TTL's negeren van DNS servers? 127.0.0.1 niet meer toestaan als een geldige response van een DNS servers? Daarmee maak je meer kapot dan je oplost...
Er zijn een aantal mechanismen voorgesteld over de jaren. meest recent door google. Het toestaan van 127.0.0.1 resolutie verbieden hoeft niet, het onverwacht veranderen wel. Een eenvoudige aanpassing zou kunnen zijn dat de DNS cache niet alleen ververst door aantal entries, maar ook tijdsgebonden (of sessie gebonden). Zolang de cache niet veranderd zolang een sessie actief kan deze aanval niet uitgevoerd worden.

Een andere oplossing (bijvoorbeeld ook in browsers, niet alleen DNS) is bij elke ontvangen frame/aanvraag een interne header "origineel ontvangen van buiten" toevoegen. Indien dan later de DNS uitkomt op localhost wordt de aanvraag alsnog geblokkeerd vanwege cross-site regels. Voor obscure toepassingen waar zoiets toch nodig zou kunnen zijn kan dan de situatie eventueel specifiek ge-whitelist worden.
Tavis is briljant, maar hij is vaak wel erg snel geÔrriteerd door de houding van organisaties die de problemen op moeten lossen. Aan de andere kant, als je zo gedreven bent door een doel in je leven moet het ook wel heel moeilijk zijn om je in te houden telkens en de 90 dagen wachten om er vervolgens achter te komen dat mensen het gevonden probleem nog steeds niet begrijpen.
Ik snap de irritatie wel. We hebben het hier over een lek waarmee code op afstand uit te voeren is op 500 miljoen PC's. Misschien moet Blizzard het dus even wat serieuzer nemen in plaats van dat ze na anderhalve maand nog geen oplossing hebben en pas weer reageren wanneer het lek publiek wordt gemaakt. Informatiebeveiliging moet gewoon een stuk serieuzer genomen worden, zeker door sommige commerciŽle partijen.
Kan iemand mij eens uitleggen waar exact het lek zit? Ik snap de rebinding op DNS niveau wel, maar ik snap niet hoe dit misbruikt kan worden. Als ik het artikel lees, moet je nog steeds een geldige authorization header meegeven, als je echt iets evil wil doen. Hoe kan een aanvaller aan een geldig authorization token geraken?

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Samsung Galaxy S9 Dual Sim OnePlus 6 Battlefield V Microsoft Xbox One X Apple iPhone 8

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*