研究人员使用定制的URL方案来实现XSS和沙盒逃生
更新一种远程代码执行(RCE)对流行的游戏开发平台Overwolf的客户端应用中的漏洞进行了修补。
关键缺陷(CVE-2021-33501)CVSS得分为9.6,这源于Windows应用程序使用的夸张的自定义URL如何“调用时运行特定的已安装应用程序”。安全咨询从Swordbytes安全性。
未经验证的攻击者可以通过结合一个反映的跨站点脚本(XSS)带有铬嵌入式框架(CEF)沙盒逃生的错误。
淹没大约有30,000名开发人员使用了90,000多种扩展,包括Fortnite,我们中间和魔兽世界。
以色列母公司Overwolf Ltd最近宣布5250万美元现金注入。
基本问题
自定义URL方案通常用于直接从浏览器导航到URL,攻击者可以“通过将有效用户重定向到恶意链接来实现,该链接滥用Overwolf的自定义URL处理程序'Overwolfstore://',“ 说过乔尔·诺古拉(Joel Noguera),Swordbytes创始人和发现RCE脆弱性的研究人员。
Noguera说,当启动overwolf客户端时,CEF申请将进行解析和分析提供的URL,以确定应该渲染哪个UI。
Noguera,位于阿根廷,所说的攻击者有自由控制“制作可能产生意外结果的不同有效载荷”,因为“在方案参数解码过程中,对[应用程序]接受的值没有限制”。
反映XSS
叙述通往XSS, the researcher said that when the ‘SECTION’ portion of the URL – usually ‘overwolfstore://app/
作为错误消息的一部分,“意外_value”反映在响应主体中,内容类型“ 设定为 '文本/html', 他继续。
反映在Overwolf Store UI的上下文中 - “本质上是嵌入式浏览器(CEF)” - 此响应意味着“受控内容将在DOM中逐字注入”。
Noguera得出结论,XSS是可能的,因为“该类别的价值缺乏消毒”和上述后端错误消息。
逃脱沙箱
然后,研究人员使用了overwolf JavaScriptAPI和’Overwolf-Extensions://’计划逃脱CEF沙箱。
“主要的CEF过程,’overwolfbrowser.exe’,正在使用启用内部overwolf标志运行(- 依赖性功能和- ow-wall internal),可以调用诸如“overwolf.utils。OpenUrlindEfaultBrowser”,Noguera解释说。
和“如果像'这样的值calc.exe’已提供,呼吁CreateProcess’将制作,然后二进制’calc.exe‘将被执行,允许攻击者运行任意命令”。
然后,研究人员利用”Overwolf.io。写入’写一个恶意批处理文件C:\ Windows \ temp \’这是通过'执行的OpenUrlindEfaultBrowser’实现RCE的方法。
“一键式攻击通常要求攻击者欺骗受害者执行最小的互动,” Noguera告诉每日swbeplay2018官网ig。“在这种特殊情况下,攻击者将需要说服用户接受overwolf应用程序将要启动。
“很容易假设一个简单的点击并不代表安全风险,但有时并非如此。用户允许该操作,攻击者将控制在其操作系统上执行的代码。”
修复时间表
Swordbytes于5月10日与Overwolf Ltd启动了联系,供应商于5月27日发布了一个Hotfix,该夫妇于5月27日发行。Swordbytes于5月31日发布了安全咨询。
该脆弱性存在于Overwolf客户端0.169.0.22中,尽管该咨询指出“先前的版本也可能受到影响”。
5月底发行的最新overwolf版本是版本0.170。
Noguera说:“我想强调尤其是通过尽快修复虫子的伟大作品。”“一旦收到信息,他们就会迅速做出反应,并开始在热五次上工作以保护其用户。”
为了回应进一步评论的邀请,Overwolf简单地告诉每日swbeplay2018官网ig该修复程序不需要对用户的其他建议。
本文于6月1日更新了Swordbytes和Overwolf的评论
不要忘记阅读EPUB漏洞:电子阅读系统带有浏览器样缺陷
