Nachrichten

Blizzard Update Agent zeigt sich problematisch

Kritische Lücken bei Blizzard

Internet | HT4U.net
Zusammen mit seinen Spielen, darunter "World of Warcraft", "StarCraft", "Overwatch" und "Diablo", installiert Blizzard den "Blizzard Update Agent", der einen JSON-RPC-Server auf dem Port 1120 des Localhost öffnet. Dort wartet der Server auf eingehende Befehle oder, wie der für Google tätige Sicherheitsexperte Tavis Ormandy herausgefunden hat, Angreifer. Rund 500 Millionen Benutzer sind hiervon betroffen.

Wie Ormandy erklärt, hat Blizzard für eingehende RPC-Anfragen ein fragwürdiges Authentifizierungssystem integriert. Wird eine Quelle als legitim erkannt, darf diese über den "Blizzard Update Agent" Software installieren, entfernen, aktualisieren oder Einstellungen ändern. Theoretisch kann jede Webseite über XMLHttpRequest() Anfragen an den Dienst schicken, was Blizzard mit der Abfrage eines Tokens unterbinden will. Doch hier gibt es ein Problem namens "DNS Rebinding": Jede Webseite kann nämlich einen DNS-Namen erstellen, über den sie kommunizieren darf und der nach Localhost aufgelöst wird. Auf diese Weise ist dann jede beliebige Webseite in der Lage, privilegierte Befehle an den "Blizzard Update Agent" zu schicken. Ormandy hat entsprechenden Angriffscode veröffentlicht.

Der Sicherheitsforscher hatte seine Entdeckung am 8. Dezember 2017 bei Blizzard gemeldet und war bis zum 22. Dezember 2017 mit dem Unternehmen in Kontakt. In der Version 5996 des "Blizzard Update Agent" tauchte dann eine erste Maßnahme gegen mögliche Angriffe auf, allerdings eine eher seltsame und unzureichende. Statt den Zugriff über eine weiße Liste auf bestimmte Hostnamen zu beschränken, hatte Blizzard eine schwarze Liste für bestimmte Programme integriert. Diese umfasst bekannte Webbrowser wie Internet Explorer (iexplore.exe), Chrome (chrome.exe), Firefox (firefox.exe, plugin-container.exe), Opera (opera.exe) und Safari (safari.exe). Wer diese Sperre umgehen möchte, muss nur einen exotischen Browser verwenden oder die Programmdatei eines bekannten Browsers umbenennen.

Inzwischen hat sich Blizzard zu Wort gemeldet und eine weitere Korrektur in Aussicht gestellt. Diese soll Ormandys Vorschlag einer Whitelist umsetzen. Wann der neue "Blizzard Update Agent" veröffentlicht wird, ist noch nicht bekannt.

Autor: mid
[]