banner antec

El equipo de investigadores Google Project Zero, ha descubierto que el software de descarga de actualizaciones de Blizzard tiene un importante agujero de seguridad y que el parche que han implementado, no sirve absolutamente de nada.

Las vulnerabilidades Spectre y Meltdown, que afectan a la mayor parte de los procesadores del mercado, ha sido encontrada por los investigadores de Google Project Zero y que han dado a conocer este proyecto de Google. No solo han descubierto este agujero de seguridad, que ha hecho tambalear el mercado de los procesadores, también han encontrado un importante fallo de seguridad en los juegos de Blizzard. Concretamente el problema estaría en la herramienta Blizzard Update Agent, una utilidad que según las métricas de la propia aplicación, cuenta con más de 500 millones de jugadores activos al mes.

Este software se encarga de establecer un sistema de servidor RPC mediante el puerto 1120 y que admite todo tipo de comandos para una instalación, desinstalación de actualizaciones y realizar los cambios necesarios en la configuración del equipo. El problema está en que esta utilidad opera sin ninguna función o herramienta de autorización. La única verificación que realiza es, una comprobación de que el tráfico proviene correctamente de una fuente autorizada y en ese momento, establecer la comunicación.

Aquí es donde está el problema. Si se realiza un ataque DNS Rebinding, podría ser que un equipo ajeno, se pueda hacer pasar por un nombre de dominio autorizado y además, poder ejecutar cualquier código en el equipo de cualquier usuario que tenga instalado un título de Blizzard.

googole project zero Blizzard DNS Rebinding 1024x547 - Google Project Zero, detecta una grave vulnerabilidad en el software de actualización de Blizzard

Inicialmente, Blizzard tenía contacto constante con Google Project Zero en cuanto a la vulnerabilidad y trabajaban en conjunto para solucionar el problema. El pasado 22 de diciembre, parece ser que la desarrolladora de videojuegos, dejo de contestar. La compañía lanzo sin aviso un parche para este problema de seguridad, pero de una manera extremadamente extraña y bastante poco profesional.

LEER MÁS
Facebook-gate: Diez usuarios neozelandeses que utilizaron la App de Cambridge Analytica, sirvieron para recopilar datos de más de 63.000 usuarios de la red social en Nueva Zelanda

Google Project Zero ha mandado nuevos correos a la desarrolladora de videojuegos, para indicarles que el parche instalado no tenía el menor efecto, vamos, que era como si no se hubiera hecho nada. Blizzard dice que los investigadores de seguridad están trabajando ya en un parche que arregle el problema, de verdad.

Este fallo de momento solo se ha detectado en la herramienta de Blizzard, pero desde Project Zero creen que hay más plataformas que pueden sufrir el problema. Han dicho que la semana próxima trabajaran con juegos que tengan 100 o más millones de instalaciones, para ver si sufren de esta vulnerabilidad o de otra vulnerabilidad. Según los datos, navegadores web, Steam, Origin o uPlay, podrían tener una vulnerabilidad igual o similar a esta. Google se ha propuesto ayudar en la seguridad y lo está haciendo con todo, sin dejarse nada en un cajón.

Share.

About Author

Técnico Intermedio en PRL, Técnico Superior en Energías Renovables y en Desarrollo de Productos Electrónicos. Docente de Formación No Reglada. Exigente con el hardware y curioso por naturaleza. Kirchhoff, Maxwell y Thevenin mis maestros y mi pasatiempo el álgebra booleana. Igual te calculo el potencial eólico del viento para un panel fotovoltaico, que te calculo la generación solar de un aerogenerador... o algo así. Stargate es la mejor serie de la historia de la ciencia ficción y lo sabes.