Google Project Zero, detecta una grave vulnerabilidad en el software de actualización de Blizzard
El equipo de investigadores Google Project Zero, ha descubierto que el software de descarga de actualizaciones de Blizzard tiene un importante agujero de seguridad y que el parche que han implementado, no sirve absolutamente de nada.
Las vulnerabilidades Spectre y Meltdown, que afectan a la mayor parte de los procesadores del mercado, ha sido encontrada por los investigadores de Google Project Zero y que han dado a conocer este proyecto de Google. No solo han descubierto este agujero de seguridad, que ha hecho tambalear el mercado de los procesadores, también han encontrado un importante fallo de seguridad en los juegos de Blizzard. Concretamente el problema estaría en la herramienta Blizzard Update Agent, una utilidad que según las métricas de la propia aplicación, cuenta con más de 500 millones de jugadores activos al mes.
Este software se encarga de establecer un sistema de servidor RPC mediante el puerto 1120 y que admite todo tipo de comandos para una instalación, desinstalación de actualizaciones y realizar los cambios necesarios en la configuración del equipo. El problema está en que esta utilidad opera sin ninguna función o herramienta de autorización. La única verificación que realiza es, una comprobación de que el tráfico proviene correctamente de una fuente autorizada y en ese momento, establecer la comunicación.
Aquí es donde está el problema. Si se realiza un ataque DNS Rebinding, podría ser que un equipo ajeno, se pueda hacer pasar por un nombre de dominio autorizado y además, poder ejecutar cualquier código en el equipo de cualquier usuario que tenga instalado un título de Blizzard.
Inicialmente, Blizzard tenía contacto constante con Google Project Zero en cuanto a la vulnerabilidad y trabajaban en conjunto para solucionar el problema. El pasado 22 de diciembre, parece ser que la desarrolladora de videojuegos, dejo de contestar. La compañía lanzo sin aviso un parche para este problema de seguridad, pero de una manera extremadamente extraña y bastante poco profesional.
Google Project Zero ha mandado nuevos correos a la desarrolladora de videojuegos, para indicarles que el parche instalado no tenía el menor efecto, vamos, que era como si no se hubiera hecho nada. Blizzard dice que los investigadores de seguridad están trabajando ya en un parche que arregle el problema, de verdad.
Este fallo de momento solo se ha detectado en la herramienta de Blizzard, pero desde Project Zero creen que hay más plataformas que pueden sufrir el problema. Han dicho que la semana próxima trabajaran con juegos que tengan 100 o más millones de instalaciones, para ver si sufren de esta vulnerabilidad o de otra vulnerabilidad. Según los datos, navegadores web, Steam, Origin o uPlay, podrían tener una vulnerabilidad igual o similar a esta. Google se ha propuesto ayudar en la seguridad y lo está haciendo con todo, sin dejarse nada en un cajón.