Blizzard corrige actuellement une faille de sécurité dans son logiciel de bureau qui pourrait permettre à n’importe quel site Web d’installer des bibliothèques logicielles basées sur le navigateur, d’accéder à des périphériques de stockage en réseau, etc. La société a introduit un correctif temporaire pour empêcher toute exploitation immédiate, mais prévoit de publier un correctif « plus complet » dans un avenir proche.
L’application de bureau de Blizzard comprend un composant appelé Blizzard Update Agent qui installe, désinstalle et met à jour les jeux Blizzard associés tels que Diablo III, World de Warcraft, Overwatch, StarCraft II, Hearthstoneet bien d’autres encore. Ce composant crée un serveur qui écoute les commandes codées envoyées par Blizzard via un port de réseau local sur le PC. Cette plate-forme de mise à jour s’appuie sur un système spécifique de jetons d’authentification pour déterminer que ces commandes sont légitimes.
Mais Tavis Ormandy, chercheur en sécurité chez Google, a révélé que les pirates pouvaient infiltrer cette configuration en utilisant une attaque appelée « Rebinding DNS. » En théorie, un pirate et/ou un site web pourrait créer un nom de domaine, et attribuer ce nom à l’adresse IP et au port où réside l’agent de mise à jour sur le PC cible. À partir de là, les pirates pourraient contourner le système d’authentification de Blizzard pour installer des logiciels malveillants et réaliser d’autres actions malveillantes.
M. Ormandy a initialement révélé le problème le 8 décembre, et a communiqué avec Blizzard jusqu’à ce que la société se taise le 22 décembre. À ce moment-là, il a noté que Blizzard avait discrètement mis à jour le client – v5996 – avec un correctif temporaire qu’il considérait comme une « solution bizarre », et qui utilisait un processus de vérification en trois étapes. Il avait précédemment proposé d’utiliser une liste blanche pour les noms d’hôtes valides, mais, au vu de la correction apportée par Blizzard, il s’est dit que la société pensait que sa solution était « trop élégante et simple ».
Enfin, le 23 janvier, Blizzard a repris la communication avec Ormandy. » Nous avons un correctif plus robuste pour la liste blanche de l’en-tête d’hôte en QA maintenant et nous le déploierons bientôt. Le code de mise sur liste noire des exécutables est en fait ancien et n’était pas destiné à être une résolution de ce problème », a déclaré un représentant.
Une attaque par rebinding DNS cible généralement plusieurs machines sur un réseau. Les attaquants enregistrent un nom de domaine, l’attribuent à un serveur de système de nom de domaine qu’ils contrôlent et créent une page Web avec du JavaScript malveillant. Lorsque les victimes arrivent sur la page, les pirates acquièrent leur adresse IP et la relient à l’un de leurs sous-domaines pour exécuter une attaque de type « Cross-Site Request Forgery ». Enfin, les pirates prennent le contrôle du routeur de la victime et peuvent attaquer d’autres machines sur le réseau.
Dans le cas du Blizzard Update Agent, les pirates pouvaient créer un faux serveur de mise à jour pour livrer des produits non associés aux jeux de Blizzard. La société a probablement gardé le silence pendant quelques semaines, le temps de reproduire le problème, de créer une solution temporaire et de préparer une mise à jour officielle avant de fournir des réponses supplémentaires. En attendant, Ormandy fournit une démo « simple » de l’outil de gestion de l’image. Blizzard DNS rebinding testcase ici.
« Notez que cette attaque peut prendre jusqu’à cinq minutes pour fonctionner, cela se produirait pendant que vous lisez un site web en arrière-plan et vous ne verriez rien sur l’écran », explique Ormandy.
En dehors de la réponse de Blizzard sur la divulgation d’Ormandy, la société n’a pas encore fait d’annonce publique officielle concernant ses découvertes.
Recommandations des rédacteurs