Peneliti keamanan menemukan kerentanan pengambilalihan akun dalam platform game dari Electronic Arts (EA) yang bisa memungkinkan penyerang mengambil alih akun sebanyak 300 juta pengguna.
Untuk meluncurkan serangan ini, penyerang hanya akan membutuhkan korban untuk mengklik tautan rujukan yang sah ke platform distribusi game EA Origin.
Membajak subdomain
Para peneliti di Check Point dan CyberInt menemukan apa yang tampaknya merupakan pengawasan dari perusahaan game, di mana salah satu subdomain mereka dialihkan ke host yang ditinggalkan pada layanan komputasi cloud Microsoft Azure yang siapapun bisa bebas untuk mendaftar.
“Secara umum, setiap layanan yang ditawarkan oleh perusahaan berbasis cloud seperti EA Games terdaftar pada alamat subdomain yang unik, misalnya, eaplayinvite[.]ea[.]com, dan memiliki DNS pointer (A atau CNAME record) ke host penyedia cloud tertentu , ea-invite-reg[.]azurewebsites[.]net, yang menjalankan layanan yang diinginkan di latar belakang, dalam hal ini server aplikasi web.”
Karena tidak lagi digunakan, para peneliti dapat mendaftarkan “ea-invite-reg[.]azurewebsites[.]net” sebagai nama layanan aplikasi web mereka sendiri di Azure. Karena catatan CNAME masih aktif, para peneliti menerima semua permintaan yang dibuat oleh pengguna EA melalui “eaplayinvite[.]ea[.]com.”
Mem-bypass limit
Membajak subdomain tidak cukup untuk melakukan serangan pengambilalihan akun, tapi itu membantu para peneliti mencari cara untuk memanfaatkan akses semacam ini dengan cara yang akan menguntungkan hacker.
Melihat implementasi EA untuk mekanisme sistem single sign-on (SSO) yang bertanggung jawab untuk menangani otentikasi di seluruh layanan online EA memungkinkan para peneliti untuk mempelajari cara kerjanya.
“Sebagai bagian dari proses autentikasi yang sukses dengan layanan global EA melalui answer[.]ea[.]com, permintaan HTTP oAauth dikirim ke accounts[.]ea[.]com untuk mendapatkan token SSO pengguna baru, maka aplikasi harus mengarahkan ulang melalui signin[.]ea[.]com ke layanan EA final yang disebut answer[.]ea[.]com untuk mengidentifikasi pengguna,” Check Point menjelaskan dalam analisis teknis serangan itu.
Dengan memodifikasi parameter “returnURI” dalam permintaan HTTP ke subdomain yang dibajak, dimungkinkan untuk mengetahui alamat layanan EA yang dihasilkan oleh token SSO.
Memanipulasi permintaan untuk mendapatkan token yang dikirim ke domain yang dibajak tidak berhasil, karena beberapa implementasi keamanan di pihak EA.
Salah satunya adalah untuk memeriksa apakah permintaan tersebut berasal dari domain Origin yang tepercaya dengan melihat tajuk pengarah HTTP. Memotong validasi ini diperlukan menyematkan iframe dengan domain tepercaya untuk memulai permintaan otentikasi.
Limit lainnya adalah fungsi jQuery yang terlibat dalam proses pengalihan token. Kecuali server tujuan, “eaplayinvite[.]com” dalam kasus ini, dipercaya token redirect gagal.
Para peneliti menemukan bahwa permintaan untuk signin[.]ea[.]com yang berisi parameter “redirectback”. Efeknya adalah pengalihan pemain EA terotentikasi ke server peneliti tanpa tanda SSO korban; tetapi ini memungkinkan logging permintaan masuk, yang termasuk token akses dalam value referensi HTTP.
Berbekal value otentikasi, penyerang dapat mengakses akun pengguna EA seolah-olah mereka adalah pemiliknya. Ini juga memungkinkan mencuri ID sesi korban dan menggunakannya dengan kredensial peretas untuk memotong otentikasi dan membeli barang virtual dengan kartu pembayaran korban.
Para peneliti menunjukkan dalam video di bawah ini dampak dari kerentanan pengambilalihan akun ini seandainya aktor berbahaya menemukan dan mengeksploitasinya:
https://youtu.be/AspvqZ555T0
