Investigadores descubrieron un fallo de seguridad en la plataforma original de distribución de videojuegos de EA Games que podrían permitir a un atacante tomar posesión de las cuentas de jugadores.
El fallo, que al momento de publicación de la información ya fue reparado, radicaba en Origin, una plataforma con más de 300 millones de usuarios desarrollada por Electronic Arts (EA) en la que los usuarios juegan y compran los juegos de la popular compañía, tales como Apex Legends o FIFA, entre otros tantos videojuegos conocidos. A través de esta plataforma, los usuarios pueden gestionar sus cuentas y perfiles, comunicarse con amigos a través de un chat y unirse a juegos en una comunidad que incluye a Xbox Live, PlayStation Network y Nintendo Network, entre otros.
Según descubrieron especialistas de Check Point y CyberInt, cuando se concatenaban al mismo tiempo una serie de vulnerabilidades presentes en la plataforma, un atacante solo necesitaba engañar a los usuarios y convencerlos en abrir una página oficial del sitio de EA Games para lograr secuestrar su cuenta. Sin necesidad de que el usuario entregue información alguna sobre las credenciales de acceso que utiliza para iniciar sesión.
Esto era posible debido a que podrían aprovecharse de una vieja vulnerabilidad sin parchear en el servicio en la nube de Microsoft Azure, la cual permitía secuestrar un subdominio de EA que previamente había sido registrado con Azure para alojar uno de los servicios de Origin.
Tal como explica TheHackerNews, si el DNS de un dominio apunta hacia la plataforma en la nube de Azure pero ésta no ha sido configurada o asociada a un usuario de Azure activo, cualquier otro usuario de Azure puede secuestrar la cuenta para colocar ese subdominio en su servidor de Azure.
Los investigadores llevaron adelante un ataque como parte de una Prueba de Concepto (PoC) y secuestraron un subdominio que estaba inactivo bajo la URL "eaplayinvite.ea.com" y lograron alojar un script en el dominio que explotaba el fallo de seguridad en el inicio de sesión único (SSO, por sus siglas en inglés) de oAuth y en el mecanismo TRUST que está incluido en el proceso de inicio de sesión de los usuarios de EA Games. De esta manera, convirtieron un dominio que inactivo en un sitio de phishing.
Habiendo logrado esto, podrían enviar el sitio malicioso a jugadores y, dado que se trataba de un dominio de EA Games, no generaba sospecha. El código embebido dentro del sitio tenía la capacidad de robar los tokens SSO de acceso de EA y de esta manera el atacante obtendría las credenciales de la cuenta de la víctima y tendría la capacidad de robar no solo los accesos, sino también la información que aquí contenga, como datos de las tarjetas de crédito y la posibilidad de realizar compras dentro del juego.