Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Beveiligingsbedrijf: Fortnite-kwetsbaarheid gaf derden toegang tot accounts

Het beveiligingsbedrijf Check Point meldt dat het meerdere kwetsbaarheden voor Fortnite heeft ontdekt, waarmee kwaadwillenden zich relatief eenvoudig toegang konden verschaffen tot de spelersaccounts en deze konden overnemen. De kwetsbaarheden zouden inmiddels gedicht zijn.

Check Point meldt dat er sprake was van meerdere kwetsbaarheden in het onlineplatform van Epic Games en daarbuiten. Daarmee konden kwaadwillenden niet alleen de accounts van spelers overnemen, maar ook hun persoonlijke accountinformatie inzien, V-bucks kopen en voicechatconversaties opnemen.

Het beveiligingsbedrijf stelt in een e-mail aan ZDNet dat het begin november bij Epic Games melding maakte van de gevonden kwetsbaarheden. Medewerkers van Check Point merkten eind november dat de kwetsbaarheden waren verdwenen, maar daarbij hield het gamebedrijf Check Point niet op de hoogte van het proces van het oplossen van de kwetsbaarheden. Epic Games heeft nog niet gereageerd op de onthulling van het beveiligingsbedrijf.

De hacks waren mogelijk door een kwetsbaarheid in enkele subdomeinen van Epic Games, zoals http://ut2004stats.epicgames.com. Hierdoor kon een xss-aanval worden uitgevoerd, waarbij de gebruiker enkel op een link hoefde te klikken die door de kwaadwillende naar hem zou worden gestuurd. Eenmaal daarop geklikt, zouden de Fortnite-gebruikersnaam en het wachtwoord direct doorgestuurd worden. Xss, of cross-site scripting, is aan te pakken via csp, dat ervoor zorgt dat alleen content van vertrouwde locaties op een website ingeladen kan worden.

De medewerkers van Check Point vonden een manier om het sso-token te hacken, dat bijvoorbeeld wordt uitgewisseld tussen providers als Google, Facebook of Nintendo en de server van Epic Games. De onderzoekers kraakten de loginprocedure en wisten een xss-kwetsbaarheid uit te buiten en de sso-token op te slaan. Daarmee kregen ze de gegevens in handen om in te loggen op de accounts van spelers.

Het loginproces was te hacken doordat Epic Games bij het klikken op 'sign in' een url aanmaakt met een redirectedUrl-parameter. Deze url wordt later gebruikt om de speler terug te leiden naar zijn accountpagina. De onderzoekers ontdekten dat het mogelijk was om deze url te manipuleren en zodoende spelers door te sturen naar een willekeurige pagina in het epicgames.com-domein. Zodoende konden spelers ook naar het domein ut2004stats.epicgames.com met de xss-payload worden doorgestuurd.

Door Joris Jansen

Nieuwsredacteur

16-01-2019 • 14:30

31 Linkedin Google+

Reacties (31)

Wijzig sortering
Een Xss is wel heel cheap... Dat is de meest voorkomende 'hack'-poging die zeer goed op te lossen is. Zoiets zou bij ontwikkeling al meegnomen moeten zijn.
Een XSS patch doorvoeren en erop testen betekend niet dat je alsnog niet vatbaar bent voor een XSS aanval dankzij, bijvoorbeeld, een toekomstige wijziging. Vaak zie je bij (grote) producten en zelfs frameworks dat ze meerdere XSS patches krijgen.

Kijk bijvoorbeeld naar Microsoft's TFS & Azure Devops (cloud tegenhanger), een product dat zelfs deze week nog een nieuwe patch heeft gekregen tegen een mogelijke XSS exploit. Ondanks dat er al meerdere XSS patches zijn geweest in het verleden.
https://portal.msrc.micro...ce/advisory/CVE-2019-0646
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0646

[Reactie gewijzigd door Caayn op 16 januari 2019 15:04]

Schijnbaar is het niet eenvoudig op te lossen als je kijkt naar de hoeveelheden (populaire)websites met een XSS vulnerability. De primaire domeinen hebben dit altijd wel voor elkaar, maar via buggy subdomeinen kan je met deze kwetsbaarheid altijd wel naar het primaire domein.

[Reactie gewijzigd door Emin3m op 16 januari 2019 15:03]

Het is prima eenvoudig op te lossen, in de meeste gevallen. XSS is vaak een stukje lazyness, of er vanuit gaan dat iemand iets niet op een bepaalde manier gebruikt.
Veel up-to-date web frameworks lossen dit zelf al op. Mogelijk lazyness inderdaad of gewoon onwetendheid door het displayen van userinput.
In dit geval is de ut2004 (of Unreal Tournament 2004) pagina waarschijnlijk niet recent van updates voorzien en heeft het team dat het onderhoud doet aan dit domein simpel weg er al in geen jaren echt aandacht aan besteed (zelfs als ze zouden willen dan nog is het lastig om daar goedkeuring en budget voor te vinden)

Ze vreemd vind ik het dus niet dat het mogelijk is om misbruik te maken van hele oude sites die waarschijnlijk simpel weg nog draaien omdat het hosten van de subdomein te weinig kost om op te vallen in het budget en de servers naast deze site nog tientallen zo niet honderden andere hosten en dus is ook het verkeer en de storage niet direct een probleem wat kosten betreft.

Het klink mij heel erg naar simpel weg oude rommel die nooit is opgeruimd dan naar een design fout of een lui ontwikkelaar.
Ze mogen iets aan die email spam doen.
Iedere keer zijn er login pogingen
Ik heb liever wel een hoop meldingen van mislukte inlogpogingen, dan geen melding totdat er een slaagt :)
Dit is oud nieuws, @Deluge wist dit 4 maanden geleden al.
Toch @Vuvuzela
Ja. Proefondervindelijk geleerd.
Ik denk dat er wel wat developers met het schaamrood op hun kaken op het matje zijn geroepen bij Epic.
Was je dan ook kwetsbaar als je geen Google/Facebook gebruikt als SSO? En wat als je MFA hebt aanstaan?
Ik vraag me af waarom Check Point dit doet, Willen ze puur de credits voor het ontdekken? Willen ze een reward? Het zal ze wel flink dwars hebben gezeten dat ze geen bericht kregen van Epic Games, nu hebben ze sowieso geen reward meer als ze dat zouden krijgen hiervoor. Wel triest dat ze melding krijgen, dit oplossen en vervolgens niet terugkoppelen. Als het zo moet gaan wil je geen ene site/app meer checken op kwetsbaarheden.

[Reactie gewijzigd door Emin3m op 16 januari 2019 14:59]

Dat, of gewoon de openheid waarborgen. Wat ik begrijp is Epic niet naar buiten gekomen hiermee (anders was dit niet zo nieuwswaardig), dus doet Checkpoint dit zodat gebruikers weten dat dit soort kwetsbaarheden bestaan.
Ik denk dat het hier niet echt om rewards gaat. Misschien moet je het even omdraaien.
Wees blij dat een organisatie als Check Point dit heeft ontdekt. Als de kwaadwillenden dit hadden ontdekt, hadden er nu wellicht 80 mln records (waarschijnlijk inclusief die van je zelf?) op straat gelegen.
Als individu zou je wellicht een bug bounty kunnen krijgen als je zo'n ontdekking doet, mits ze zo'n programma hanteren natuurlijk.
Ik duidde meer op dat zij dit nu in het nieuws hebben gebracht i.p.v. dat ze dit onderzoek hebben gedaan.
Volgens mij is het doel hiervan om aandacht in de media te krijgen zodat bedrijven bekend worden met dit bedrijf, en zo omzet te genereren.

Ik vind het geen slecht idee om zo reclame voor jezelf te maken.
Dus ze moesten een server hacken binnen het epicgames.com domein, succesvol meerdere mensen via phishing misleiden en konden daarbij (zo lijkt het) geen wachtwoorden of e-mailadressen aanpassen. Dit een grote hack noemen gaat dan wel wat ver, al is het slordig dat ze wat oude domeinen op onveilige servers hebben draaien.

Edit: ah staat niet in het Tweakers artikel maar wel bij de bron

[Reactie gewijzigd door Martinspire op 16 januari 2019 14:53]

Server hacken staat toch niet in het artikel?
SSO token onderscheppen, URL naar een epic-games domein met XSS crafted code in de parameters doorsturen naar slachtoffer via phishing mail.
Met een token kun je meestal niet veel maar het lijkt erop dat de post-data wordt meegestuurd, want met HTTPS dacht ik juist dat je wachtwoorden niet kon uitlezen.

Verder moeten ze nog steeds die server op het domein van Epic hacken en mensen via phishing misleiden en dat lijkt me voor een grote aanval redelijk kansloos.

[Reactie gewijzigd door Martinspire op 16 januari 2019 14:53]

Ze konden wel de wachtwoorden of e-mailadressen aanpassen. Lees het artikel nog maar een keer.

Een grote hack is relatief.
En dan te bedenken hoeveel mensen hetzelfde wachtwoord gebruiken op hun persoonlijke emailaccount.
Sorry, maar hoe je aan een +2 komt is mij een raadsel.
wellicht moet je het research linkje even goed lezen. .

https://research.checkpoint.com/hacking-fortnite/
Klinkt allemaal niet heel heftig. Ik denk dat de gemiddelde Fortnite-speler zich meer zorgen maakt om die zwevende ijsbal op het moment. :)
Ok een hoop verhaal over Xss maar er wordt geen woord gerept over het deel
Het loginproces was te hacken doordat Epic Games bij het klikken op 'sign in' een url aanmaakt met een redirectedUrl-parameter. Deze url wordt later gebruikt om de speler terug te leiden naar zijn accountpagina. De onderzoekers ontdekten dat het mogelijk was om deze url te manipuleren en zodoende spelers door te sturen naar een willekeurige pagina in het epicgames.com-domein. Zodoende konden spelers ook naar het domein ut2004stats.epicgames.com met de xss-payload worden doorgestuurd.
De vraag is hoe hebben zij het voor elkaar gekregen om dat url te manipuleren van een gebruiker binnen het epic domein? Dat lijkt mij namelijk de echte smoking gun.
ut2004, die game heb ik veel gespeeld vroeger. Wel inderdaad stom dat dit gewoon mogelijk is. Zo'n XSS filter zit normaal toch al standaard in een basis WAF ruleset ?? Dus in geval van oops, zou de rule die de XSS matcht een aantal hits moeten geven (403's) en bingo, je weet dat er zeer waarschijnlijk iets lek is. Maar goed in het voorbeeld zou dat niet werken, want de firewall blokkeert de requests dan. Hmm

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Microsoft Xbox Series X LG OLED C9 Google Pixel 4 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True