Давайте поможем компании Plarium стать безопаснее / forpes.ru

Главная
Давайте поможем компании Plarium стать безопаснее

Давайте поможем компании Plarium стать безопаснее +35

29.06.2021 08:51

xi-tauw 14 3800 Источник

Приветствую всех читателей. Довольно внезапно вышло, что это очередная статья о поиске уязвимостей в игровом лаунчере. Прошлыми испытуемыми были Steam (CVE-2019-14743, CVE-2019-15316, CVE-2019-17180), Origin (CVE-2019-19247, CVE-2019-19248) и GOG (я поленился получать CVE для уязвимостей). В этот раз я исследовал Plarium Play, лаунчер игр для Windows компании Plarium. Если вы впервые слышите о таком ПО, то возможно вы слышали о таких играх как Raid: Shadow legends и Vikings: War Of Clans, они часто рекламируются различными блоггерами в ютубе. Собственно, компания Plarium и создала Plarium Play для того, чтобы помогать пользователям Windows играть в свои игры.

Небольшая особенность этой статьи состоит в том, что уязвимости актуальны и работоспособны на данный момент. Собственно, в этом-то и проблема. Не смотря на то, что я передал информацию об исследовании, компания Plarium ответила мне отпиской вида "Спасибо за информацию, мы примем меры, если это будет необходимо", после чего стала игнорировать мои сообщения.

История общения

Plarium является израильской компанией-разработчиком игр, с офисами в Израиле, России, Украине и США. Компания пишет на своем сайте, что у нее 38000000 (38 миллионов) игроков по всему миру. Более того, российское отделение даже ведет блог на хабре. Поэтому, я даже не думал, что могут возникнуть проблемы.

После того, как я нашел две уязвимости, я обратился к официальному сайту в поисках security-контакта, но такого не нашлось. 10 мая я написал сообщение в диалогах хабра с просьбой предоставить security-контакт. Ответа не было, поэтому 13 мая написал сообщение через vk с той же просьбой. 14 мая получил ответ, мол давай просто передавай как есть через оба канала. За выходные я подготовил единый документ (который в общем-то был аналогичен тому, что будет описано в этой статье ниже) и 17 мая отправил его через vk, поскольку там файлы передавать проще, чем через хабр. Мне подтвердили получение и две недели сообщений не было. 1 июня я поинтересовался статусом, на что и получил ответ про "примем меры, если это будет необходимо". Я объяснил, что мне нужно знать, признает ли компания уязвимости, чтобы опубликовать статью в соответствии с ответственным разглашением информации об уязвимости, после патча, после того, как большинство пользователей обновится на безопасную версию. Но мое сообщение осталось даже не просмотренным, видимо решили что диалог со мной компании не интересен. 15 июня я отправил еще сообщение, чтобы привлечь внимание, но ничего не поменялось. Поэтому и публикуется эта статья, чтобы помочь компании Plarium защитить своих пользователей и стать более безопасной.

Исследование

Я люблю искать уязвимости типа повышение привилегий (escalation of privileges, local privilege escalation). Этот тип уязвимостей позволяет атакующему получить более высокие права на целевой системе пользователя. Дальше простор для воображения атакующего – просмотр файлов и данных других пользователей ПК, закрепление в системе, которое будет трудно обнаружить и отловить, установка рекламных программ или программ-майнеров, спрятанных от пользователей. Ниже я опишу две независимых уязвимости, которые позволяют любой запущенной программе выполнить свой код от имени пользователя NT AUTHORITY\SYSTEM – самого высокопривилегированного пользователя ОС Windows.

Уязвимость с некорректными настройками прав доступа

Первая уязвимость – банальная dll-инъекция (binary planting, в данном случае). При установке лаунчера происходит запрос прав администратора и установка программы в папку к пользователю. Причем довольно странным выглядит тот факт, что установка происходит в папку не того пользователя, что инициировал установку, а того, который права администратора предоставил. Видимо именно поэтому на папку с ПО (вида C:\Users\имя_пользователя_администратора\AppData\Local\Plarium\PlariumPlay) выставляют права для всех пользователей на полный доступ.

И так уж выходит, что в глубине этой папки лежит исполняемый файл для сервиса, который устанавливает лаунчер C:\Users\имя_пользователя_администратора\AppData\Local\Plarium\PlariumPlay\6.5.0-0.0.0\PlariumPlayClientService.exe. И этот сервис работает от имени пользователя NT AUTHORITY\SYSTEM, поэтому любой код, запущенный в контексте этого сервиса, будет исполнятся с максимально возможными правами. Посмотрим лог старта сервиса в ProcMon'е и увидим очевидное пространство для инъекций.

Атакующему пользователю нужно просто создать proxy-dll для любой библиотеки из списка в логе (например, на скрине это cryptsp.dll, cryptbase.dll, wldp.dll и profapi.dll) и при старте сервиса код из этой dll будет исполнен в контексте сервиса от имени пользователя NT AUTHORITY\SYSTEM. Немного радует факт, что у пользователя хотя бы нет прав на перезапуск сервиса, поэтому атакующему нужно будет дождаться перезагрузки ПК.

Уязвимость с запуском произвольных программ

Вторая уязвимость гораздо интереснее. Она основана на непосредственно функциональности сервиса лаунчера. При старте сервис создает сетевой сокет на локальном интерфейсе с номером около 5400. Любой пользователь может отправить специально сформированную команду на этот сокет, и выполнить произвольный код от имени NT AUTHORITY\SYSTEM.

Детальное описание шагов для эксплуатации:

Необходимо вычитать из реестра HKU\.DEFAULT\Software\Plarium\PlariumPlay два значения ключей port и data.
Расшифровать их (используется алгоритм AES с ключом в base64 HTMCjgasdf450dFLKXJBED3rldkjvhi9s34hvLkfgh4= и инициализирующим вектором в base64 WcEOEGcSDi4ERtsFPExDkw==).
Значение port будет содержать номер порта для подключения, а значение data нужно для формирования команды.
Необходимо сформировать JSON-команду для отправки на порт. Сначала это будет вспомогательный JSON с параметрами для исполнения: {'args':'', 'link':'C:/Windows/system32/cmd.exe'}.
Теперь основной JSON со следующими параметрами:
- method – “invokeInstaller”
- data – JSON с предыдущего шага
- requestId – любое, я поставил “rid”
- signature – нужно посчитать хекс строку от SHA512 от конкатенации строк значений method, data из пункта 3 и data из этого JSON.
Отправить этот JSON в сокет, предварительно отправим длину пакета в 8 байтах.

Вот основная часть кода, реализующая PoC для уязвимости:

В данном примере будет запущена консоль команд, но любой пользователь может запустить любую полезную нагрузку, и она будет исполнена от имени пользователя NT AUTHORITY\SYSTEM.

Выводы

Я надеюсь, что компания Plarium обратит внимание на мою статью и проблемы безопасности в своем продукте, а разработчики поскорее примут меры, которые защитят игроков на платформе Windows.

Хотя еще больше мне бы хотелось, чтобы эта статья вышла не как рассказ об актуальной уязвимости, а статья об уже решенной проблеме.

Комментарии (14)

Qqtt
29.06.2021 15:05
#23203828
Вот если бы вы опубликовали новый метод монетизации....., а тут глупоcти какие то, безопастность, уязвимости — это все не про Plarium.
1. xi-tauw Автор
  29.06.2021 15:05
  #23203832
  К сожалению, я разбираюсь только в уязвимостях, поэтому пишу об этом

cruzo
30.06.2021 22:07
#23205436
Спасибо за статью, можете пояснить для тех кто в танке. Чтобы повлиять на dll проекта, атакующий каким образом может их подменить? Я про cryptbase.dll и остальные.
Подразумевается, что атакующий получает доступ к компьютеру жертвы, подменяет файлы и уже потом его dll выполняются с повышенными приведениями?
1. xi-tauw Автор
  30.06.2021 22:22
  #23205498
  Да, нужен изначальный доступ к ПК, чтобы воспользоваться уязвимостями и поднять права до системных.
  1. myz0ne
    30.06.2021 00:00
    #23205744
    Похоже на взаимодействие хакера и солонки, не? В том плане что если есть доступ к компу то оттуда и так утащат все самое ценное (пароли, сессии браузера, банковские аккаунты и прочее). Врядли кто-то заморачивается с отдельным аккаунтом на одном компе для игр. Опять таки непривилегированная учетка позволит запустить условный майнинг, или устроить условный dDoS.
    А там где повышение привилегий опасно (корпоративная сеть), там и так политиками запрещено ставить левые программы.
    И дело не в том чтобы умалить ваши заслуги, работа проделана значительная, просто нельзя ли выбрать более адекватные цели для исследования? В данный момент выглядит как шантаж на выплату баг баунти. (И, со стороны напоминает подход индопакистанских ребятушек которые пишут про отсутствие всяких днс записей типа DMARC/CAA, которые 99.9% не нужны).
    
    maxbl4
    30.06.2021 00:26
    #23205792
    Например ваш ребенок играет только когда вы разрешили и не может ставить произвольные программы, потому что у него нет прав администратора. С помощью такой дыры и короткой инструкции из интернета он не только сможет выдать себе права администратора, но и заразить компьютер вирусом. Вся суть в том, что ему не нужно ставить программу, достаточно скачать подготовленную другими людьми длл из интернета, положить в нужную папку и перезагрузить систему
    
    myz0ne
    30.06.2021 10:43
    #23206610
    Вы серьезно? У ребенка есть физический доступ к компу и он пойдет таким диким путем? В нашем детстве это обходилось скачиванием liveCD, загрузкой с него и выдачей себе полных прав. И не надо выдумывать себе диких предварительных условий.
    Если стоит пароль на биос - это все равно обходится. Единственно что - это может быть сценарием атаки если диск зашифрован и для загрузки надо вводить пароль. Но у таких людей и комп как правило не шарится с детьми.

DrMefistO
30.06.2021 04:29
#23206006
Прочитать из реестра два параметра... И зачем тогда доступ по сети? Если вы уже на локальной тачке, и у вас есть первая уязвимость. Тем более не указано, как генерируются данные для сигнатуры, уникальны ли они для каждого запуска/системы или одни на всех (уверен, скорее первое). Тогда вторая уязвимость точно не уязвимость.
1. xi-tauw Автор
  30.06.2021 08:16
  #23206216
  Сеть во второй уязвимости это только транспорт в рамках локалхоста, который позволяет отправлять команды сервису.
  Данные, которые вычитываются из реестра для команд, уникальные в рамках запуска сервиса/системы, но не вижу смысла разбирать как они сгенерированы, если их в любой момент можно прочитать.
  1. DrMefistO
    30.06.2021 12:56
    #23207324
    Так понятнее. Тогда зависит от того, как данные утверждения были аргументированы вендору.

Doomland
30.06.2021 09:44
#23206420
-2
Автор статьи — ПОЖАЛУЙСТА ОДУМАЙСЯ! Эта компашка должна быть предана исключительно забвению. Любое упоминание о ней — это пиар её деятельности. Посмотри эти видео и пойми во что ты вляпался. Рекомендую также и всем — это важно.

www.youtube.com/watch?v=o-U5pW0G8ow&list=PLBDRZrTxbbtcwBwNW0AdTxleV7QEKwUfP&index=5

www.youtube.com/watch?v=4II7OfwwX-4&list=PLBDRZrTxbbtcwBwNW0AdTxleV7QEKwUfP&index=1&t=5s
1. xi-tauw Автор
  30.06.2021 10:01
  #23206478
  Я давно подписан на канал iXBT Games, поэтому видел эти видео. Можно как угодно относится к компании Plarium, но, объективно, компания существует, игры разработаны, игроков много. Оставлять игроков под угрозой только из идеологических соображений неправильно.
  1. Doomland
    30.06.2021 10:04
    #23206494
    Да в том-то и прикол, что игр то по сути у них и нет, а есть картинки и манипулятивное выкачивание денег из пользователей. Агрессивная реклама и накачка блогеров прилагается.

Plarium
30.06.2021 10:29
#23206562
+2
Добрый день!
Указанные уязвимости имеют место быть, спасибо за ваше обращение через ВК, Habr и внимание к нашему проекту.
Наши специалисты работают над решением этой уязвимости.

Давайте поможем компании Plarium стать безопаснее +35

История общения

Исследование

Уязвимость с некорректными настройками прав доступа

Уязвимость с запуском произвольных программ

Выводы

Комментарии (14)

xi-tauw Автор

xi-tauw Автор

xi-tauw Автор

xi-tauw Автор