Un fallo grave encontrado en el actualizador de Blizzard permite atacar los PC de los usuarios

Tavis Ormandi, el conocido investigador en seguridad de Google, descubrió una importante vulnerabilidad en una aplicación de la conocida desarrolladora de videojuegos Blizzard que permitía a los atacantes ejecutar código en remoto sobre las computadoras de los jugadores (usuarios finales).

Blizzard es una de las desarrolladoras más conocidas del mundo de los videojuegos, teniendo a su público principal en el PC. Con juegos como World of Warcraft, Overwatch, Diablo III, Hearthstone y Starcraft II, cada mes hay decenas de millones de usuarios que juegan online a alguno de sus títulos, ofreciendo así una gran base para que los atacantes puedan llevar a cabo sus acciones maliciosas.

Ormandy halló la vulnerabilidad en Blizzard Update Agent, que se instala junto a todos los títulos de la desarrolladora y se encarga de la búsqueda e instalación de actualizaciones y parches. Esta aplicación también acepta órdenes para cambiar configuraciones, realizar tareas de mantenimiento, etc. Las operaciones se ejecutan desde un servidor JSON-RPC sobre el protocolo HTTP y mediante el puerto 1120.

Ormandy y el equipo Project Zero de Google han descubierto que Blizzard Update Agent es vulnerable a una técnica llamada DNS Rebinding, un ataque que permite a cualquier sitio web actuar como si fuese un puente entre un servidor externo y el localhost. Mediante la creación de una entrada de DNS para enlazar cualquier página web controlada por el atacante con localhost (127.0.0.1) y engañando a un usuario para que la visite, el hacker puede fácilmente enviar órdenes privilegiadas a Blizzard Update Agent utilizando código JavaScript.

Ormandy también ha presentado una prueba de concepto del exploit y ha encontrado que el ataque puede llevarse a cabo con éxito en 15 minutos, aunque puede ser acelerado forzando un vaciado de la caché de los DNS. El conocido investigador en seguridad avisó a Blizzard el pasado mes de diciembre, recibiendo en un principio una respuesta positiva por parte de la desarrolladora de videojuegos.

Blizzard parcheó el fallo de seguridad de forma silenciosa, utilizando una lista negra que impide a los principales navegadores web comunicarse con Blizzard Update Agent, en lugar de crear una lista blanca con los nombres de host de los servidores de actualización. Ormandy no ha dudado en calificar dicha solución como “extraña”, ya que él prefería la lista blanca con los nombres de host de los servidores, además de haberle molestado que no le comunicasen la introducción del parche.

Fuentes: The Hacker News y The Register