暴雪遊戲存在嚴重遠程控制漏洞，數億用戶受影響

《星際爭霸II》、《風暴英雄》、《爐石傳說》、《守望先鋒》、《魔獸世界》、《暗黑破壞神III》及《魔獸爭霸III》這些遊戲你玩過幾個？不過你知道嗎，這麼多牛叉的遊戲可都是暴雪娛樂公司開發的。也意味著如果它的遊戲製作平台有漏洞，那這些遊戲無一例外能倖免。

這不穀歌Project Zero團隊的白帽黑客Tavis Ormandy就發現暴雪遊戲存在一個嚴重漏洞，攻擊者可以利用該漏洞在遊戲玩家的電腦上實現遠程惡意代碼執行。這意味著，數百萬計算機面臨風險，目前每月的暴雪遊戲在線玩家都在5億人次左右。

暴雪遊戲的入手過程非常簡單，玩家只需要安裝一個名為「暴雪更新代理（Blizzard Agent）」的客戶端應用程序，該應用程序通過埠1120上的HTTP協議運行JSON-RPC伺服器，來接受後台的命令，比如遊戲安裝，卸載，更改設置，更新和其他維護等。

漏洞的介紹

Ormandy在其博客上寫道：

暴雪遊戲之所以要這樣做，是要自定義驗證方案來驗證JSON-RPC是否來自合法來源。

不過Ormandy又表示：

暴雪遊戲這個更新代理很容易受到DNS重綁定（DNS Rebinding）的攻擊，如果該漏洞被黑客利用，那麼他們就會利用任何網站創建一個與玩家電腦進行通信的伺服器名稱，然後利用該外部伺服器將玩家電腦解析為本地主機。這樣，玩家的更新代理程序服務就無法驗證客戶端請求的伺服器名稱，從而讓黑客藉機完成請求響應。

實際上，網站本身就是外部伺服器和本地主機之間的橋樑，這意味著任何網站都可以向代理髮送特權命令。

漏洞的利用過程

攻擊者可以啟動一個DNS Rebinding攻擊來創建一個DNS條目，從而將任何攻擊者控制的網頁與127.0.0.1綁定，誘騙用戶訪問它，這種技術使得黑客可以使用JavaScript代碼向更新代理遠程發送特權命令。

當攻擊者簡單地創建了一個DNS入口，並把某個可控制的URL頁面綁定了127.0.0.1 IP之後，就會把玩家重定向到偽裝的URL頁面。這樣，黑客利用DNS重綁定技術向更新代理程序發起Java執行命令攻擊。

Ormandy還發布了一個PoC，攻擊者就是如此對暴雪客戶執行DNS重新綁定攻擊的。

Ormandy表示：

我有一個用於測試的域rbndr.us，可以使用這個頁面生成主機名：#a href="https://lock.cmpxchg8b.com/rebinder.html" target="_blank">https://lock.cmpxchg8b.com/rebinder.html#/a>，因此，我在7f000001.c0a80001.rbndr.us域名中綁定了127.0.0.1和199.241.29.227兩個IP。

由於主機名在兩個IP之間進行解析處理，但當DNS響應中的TTL欄位足夠短時，將不會從本地DNS緩存中讀取，而是重新發起DNS請求，當兩個IP綁定到同一主機名上後，網站就會認為該兩個IP都來自同一源地址，由此實現攻擊。

下圖就是一個PoC測試頁面，它可以實現對Blizzard客戶端的攻擊，利用網路驅動或目標設定，讓玩家的瀏覽器下載並安裝惡意dll以及數據文件。

暴雪尷尬的緩解方案

其實Ormandy早在去年12月份就向暴雪報告了這個漏洞，但在進行了最基本的溝通之後，暴雪就再也不理會他了，而是根據Ormandy提供的情況，簡單粗暴的在客戶端版本5996中進行了一些表面性的修復。

迫不得已，Ormandy向大眾公開了這個漏洞。結果，暴雪又跟Ormandy取得了聯繫，聲稱他們將主機白名單機制來修復該漏洞，且相關補丁正在研發部署之中。

不過Ormandy認為：

這個白名單機制的緩解辦法還是我建議給他們的，起初暴雪只是通過查詢客戶端命令行，獲取exename的32位FNV-1a哈希值，然後將部分惡意域名加入黑名單阻止通信。而我的建議是將玩家的主機列入白名單，因為加入白名單可以限制所有不再白名單中的域名進行通信，而黑名單僅只是將某些舊的惡意域名給攔截掉而已。但即使是白名單機制的解決方案，也顯得過於簡單。

另外，前幾天，Ormandy還在被廣泛使用的開源BitTorrent下載工具Transmission中發現了一個嚴重的安全漏洞（CVE-2018-5702），這允許黑客在BitTorrent用戶的計算機上遠程執行惡意代碼並獲取受感染計算機的絕對控制權。

在向Transmission團隊發送初始報告40天後， Ormandy就決定公開漏洞利用攻擊的POC，其原因也是因為Transmission團隊對Ormandy的發現愛答不理。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！