歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

可導致數百萬玩家帳戶被劫持:EA游戲帳戶劫持漏洞分析

來源:本站整理 作者:佚名 時間:2019-07-01 TAG: 我要投稿

一、概述
在過去的幾周中,Check Point Research與CyberInt共同確認了一系列漏洞,這些漏洞一旦被攻擊者利用,可能會導致全球第二大游戲公司EA Games的數百萬玩家帳戶被接管。同時,這些漏洞可能還會導致攻擊者非法獲取用戶的信用卡信息,也可能導致攻擊者以用戶的身份購買游戲。
CyberInt和Check Point在第一時間將這些安全漏洞通知EA Games,同時利用我們的專業能力幫助EA修復這些漏洞,以保護其游戲玩家的利益。
二、關于Origin:EA游戲平臺
EA Games擁有超過3億客戶,公司市值目前在50億美元左右,是全球第二大游戲公司,擁有一系列家庭游戲,例如FIFA、Maden NFL、NBA Live、UFC、The Sims、Battlefield、Command and Conquer、Medal of Honor等。所有這些游戲都依賴于其自行開發的Origin游戲平臺,該平臺允許用戶在計算機和移動設備上購買EA游戲并運行。
除了游戲功能之外,Origin還包含社交功能,例如個人資料管理、與朋友聯網聊天或直接加入游戲、與Facebook、Xbox Live、PlayStation Network、Nintendo Network等網絡站點的社區集成。
三、漏洞發現過程
與Check Point Research團隊之前在另一個非常流行的游戲平臺Fornite上發現的漏洞類似,在EA平臺上發現的漏洞不需要用戶提交任何詳細信息。相反,該漏洞利用了EA Games將身份驗證令牌與EA Games用戶登錄過程中內置的oAuth單點登錄(SSO)和TRUST機制結合使用的弱點。
我們發現,EA Games大量使用了云平臺,該公司在Microsoft Azure托管多個域名,包括ea.com和origin.com,以便為其遍布全球的玩家提供各種服務,例如創建新的游戲帳戶、連接進入Origin社交網絡、在EA的在線商店中購買更多游戲等。
視頻:EA Games漏洞導致帳號泄露和身份信息竊取
https://youtu.be/JMjoi60JpTY
四、技術細節
4.1 eaplayinvite.ea.com子域名劫持
EA Games運營多個域名,包括ea.com和origin.com,以便為其遍布全球的玩家提供各種服務,包括創建新的Apex Legend帳戶、連接到Origin社交網絡、在EA的在線商店購買新的游戲等。
通常,像EA Games這樣依賴于云服務的公司所提供的每項服務,都會在一個唯一的子域名地址上注冊,例如eaplayinvite.ea.com,并且具有指向特定云服務商主機的DNS指針(A記錄或CNAME記錄)。在我們的示例中,ea-invite-reg.azurewebsites.net是一個Web應用程序服務器,會在后臺運行所需的服務。
eaplayinvite.ea.com的DNS指針指向CNAME記錄,即ea-invite-reg.azurewebsites.net:

Azure是由Microsoft提供支持的云服務提供商解決方案,允許公司注冊新的服務(例如:Web應用程序、REST API、虛擬機、數據庫等),以便向全球的在線客戶提供這些服務。
每個Azure用戶帳戶都可以請求注冊特定服務名稱(服務名稱.azurewebsites.net),該名稱將在Azure子域名驗證過程中驗證其CNAME記錄,并連接到組織特定的域名或子域名。
然而,根據CyberInt進行的研究,他們發現ea-invite-reg.azurewebsites.net服務在Azure云服務中不再使用,但唯一的子域名eaplayinvite.ea.com仍然使用CNAME配置重定向到該域名。
eaplayinvite.ea.com的CNAME重定向允許我們在自己的Azure帳戶中創建新的成功注冊請求,并將ea-invite-reg.azurewebsites.net注冊為我們新的Web應用程序服務。這樣一來,我們基本上就劫持了eaplayinvite.ea.com的子域名,并且能夠監控EA合法用戶的請求。
將“eaplayinvite.ea.com”的CNAME重定向更改為我們自己的Azure帳戶中托管的“ea-invite-reg.azurewebsites.net”:

如下圖所示,在劫持之后的DNS記錄狀態顯示,eaplayinvite.ea.com已經重定向到我們的新Azure云Web服務:

4.2 oAuth無效重定向導致帳戶接管
在控制了eaplayinvite.ea.com子域名之后,我們的團隊找到了一個新的目標,即研究如何濫用TRUST機制。TRUST機制存在于ea.com和Origin.com域名及其子域名之間。如果能成功濫用該機制,那么我們就能夠操縱oAuth協議的實施方式,并利用該漏洞實現完全的帳戶接管。
我們首先需要確定EA Games是如何配置oAuth協議并為其用戶提供單點登錄(SSO)機制。SSO機制通過唯一的SSO令牌(SSO Token)交換用戶憑據(用戶名和密碼),然后使用該令牌對EA網絡的任何平臺(例如:accounts.origin.com)進行身份驗證,而無需再次輸入其憑據。
在分析EA Games的oAuth SSO在幾個EA服務(例如:answers.ea.com、help.ea.com、accounts.ea.com)中具體實現的過程中,我們對EA的身份驗證流程進行了研究,并掌握了有關目前實施的TURST機制的更多信息。
作為使用EA全局服務通過answers.ea.com成功進行身份驗證過程的一部分,oAuth HTTP請求將發送到accounts.ea.com以獲取新的用戶SSO令牌,然后應用程序應通過signin.ea.com將其重定向到名為answers.ea.com的最終EA服務以識別用戶。
使用answers.ea.com進行身份驗證的oAuth SSO請求:

oAuth身份驗證SSO令牌通過signin.ea.com重定向到EA的answers.ea.com服務器:

但是,我們發現,實際上可以通過修改被我們劫持的EA子域名eaplayinvite.ea.com的HTTP請求中的returnURI參數,來確定生成oAuth令牌的EA服務地址。

[1] [2]  下一頁

【聲明】:黑吧安全網(http://www.zjtpzs.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        神秘东方电子游艺