Vulnerabilidad de secuencias de comandos en sitios cruzados en el cliente de Origin
EASEC-2020-003
Gravedad: Importante
Puntuación CVSS: 8.2
Impacto: Manipulación
Estado: Solucionado
Software afectado: Origin para Mac y PC versión 10.5.86 (o anterior)
CVE-ID: CVE-202 0-15914
Descripción
Existe una vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en el cliente de Origin que podría permitirle a un atacante remoto ejecutar JavaScript arbitrario en el cliente de Origin del usuario objetivo. Un atacante podría usar esta vulnerabilidad para acceder a datos sensibles relacionados con la cuenta de Origin del usuario objetivo, o bien para controlar o supervisar la ventana de chat de texto de Origin.
Escenario de ataque
Para aprovechar la vulnerabilidad, el atacante debe iniciar sesión en el cliente de Origin con una cuenta de Origin válida y usar la funcionalidad de chat de texto de Origin para enviar un mensaje elaborado especialmente para ese fin al sistema afectado. El mensaje creado contiene un paquete JavaScript que se ejecuta en el siguiente inicio del cliente de Origin.
- Si el mensaje se entrega, pero el sistema no está ejecutando el cliente de Origin en ese momento, el paquete se ejecutará cuando el usuario vuelva a iniciarlo.
- Sn embargo, aunque el usuario ya esté ejecutando el cliente de Origin cuando se entregue el mensaje, el paquete no se ejecutará de inmediato. El atacante deberá esperar a que el usuario reinicie el cliente de Origin, o bien convencerlo de reiniciarlo.
Mitigaciones
Las mitigaciones describen factores que limitan la probabilidad de que un atacante aproveche la vulnerabilidad con éxito y el impacto de esta acción.
- El paquete enviado por el atacante al sistema afectado solo se ejecutará cuando se inicie Origin en el sistema del usuario objetivo. Si el cliente de Origin ya se está ejecutando en el sistema objetivo, el atacante debe convencer al usuario objetivo de reiniciar el cliente, o bien esperar a que lo haga.
- Un atacante solo puede enviar mensajes de chat de texto a un usuario específico si este está en su lista de amigos. Para atacar a un usuario de Origin aleatorio que no esté en su lista de amigos, el atacante debe primero convencer al usuario de aceptar su solicitud de amistad de Origin.
Soluciones
Las soluciones son pasos que los clientes de EA pueden tomar para reducir la posibilidad de que un atacante aproveche la vulnerabilidad si no pueden o no deciden instalar la actualización.
- No hay soluciones para esta vulnerabilidad. Para enfrentar la vulnerabilidad, los jugadores deben seguir los pasos descritos en la sección Resolución de este aviso.
Resolución
Para abordar la vulnerabilidad, se recomienda a los jugadores con derechos de administrador que instalen la versión más reciente del cliente de Origin (versión 10.5.87).
En el siguiente inicio de sesión, se le solicitará al jugador que actualice antes de ingresar sus credenciales. Si ya inició sesión, deberá reiniciar Origin para recibir la actualización.
Preguntas frecuentes
¿Cómo se determina la gravedad del problema?
La gravedad del problema se basa en una clasificación de 4 niveles, cuya escala cubre la puntuación desde Crítica hasta Baja. Como parte de nuestra investigación, los ingenieros de seguridad determinan la facilidad de explotación en general y la forma en que un atacante tendría que explotar la vulnerabilidad con éxito. Por lo general, cuantas menos barreras existan para la explotación junto con un mayor impacto a la seguridad, mayor será la designación de gravedad del problema. Aquí puedes encontrar más información sobre cómo clasificamos el impacto en la seguridad y la gravedad del problema.
¿Qué causa la vulnerabilidad?
La vulnerabilidad se debe al método utilizado para renderizar los mensajes del chat de texto en el navegador web del cliente de Origin. Esto permite que un atacante suministre JavaScript aleatorio, el cual se ejecutará en el cliente de Origin del usuario objetivo bajo la autoridad del dominio www.origin.com.
¿Se puede usar esta vulnerabilidad para acceder a la cuenta Origin de un jugador o robarla?
Esta vulnerabilidad no se puede usar para acceder a la cuenta Origin de un jugador, robarla ni acceder a su sesión autenticada en el cliente de Origin.
¿A qué datos sensibles se puede acceder con esta vulnerabilidad?
Esta vulnerabilidad se puede usar para acceder al contenido de los mensajes del chat del jugador, a su lista de amigos, a sus logros, a la lista de juegos que tiene y a su lista de deseos.
¿Cómo sé si soy vulnerable?
Si tienes instalada en tu sistema la versión del cliente de Origin 10.5.86 o una anterior, eres vulnerable a este problema.
¿Cómo resuelve la vulnerabilidad la actualización?
La actualización implementa la limpieza y y validación, tanto del lado del cliente como del servidor, del contenido que se envía y recibe en los mensajes de chat de texto.
¿Se usó esta vulnerabilidad contra los clientes de EA?
No. Al momento de la publicación de este aviso, no tenemos conocimiento de ningún ataque contra los jugadores de EA que aproveche esta vulnerabilidad.
Reconocimiento(s)
EA agradece al siguiente investigador de seguridad por su descubrimiento y por informarnos de ello de acuerdo con las prácticas de Divulgación coordinada de vulnerabilidades:
Fecha de publicación: 29 de octubre de 2020
Versión: 1.0