EA Games 취약점으로 인해 3억 개의 계정이 계정 하이재킹 위협에 노출되었습니다.
게임 플랫폼에는 민감한 고객 데이터가 너무 많이 포함되어 있어 점차 해커들의 표적이 되고 있습니다.
EA Games는 해커가 등록된 플레이어 계정을 가로채거나 조용히 전체 액세스 및 제어권을 얻거나 플레이어가 해커와 상호 작용하도록 강요하는 데 사용할 수 있는 취약점을 노출했습니다. 영향을 받는 계정의 수는 3억 개에 이릅니다.
이스라엘 사이버 보안 회사인 CyberInt와 Check Point는 EA Games 도메인 이름이 등록되는 방식을 조작하여 Microsoft Azure 클라우드의 하위 도메인을 하이재킹하여 플레이어 계정을 완전히 탈취할 수 있다는 사실을 발견했습니다.
EA Game은 Electronic Arts의 가장 중요한 브랜드로, 수익 가치가 약 50억 달러에 달하며 스포츠 게임과 같이 게임 업계에서 잘 알려진 여러 고전 게임을 개발, 판매 및 호스팅합니다. 'FIFA', '매든', 'NBA' 및 1인칭 슈팅(FPS) 게임 '배틀필드', '메달 오브 아너' 등 이들 유명 게임은 모두 EA Games의 디지털 유통 플랫폼인 Origin을 통해 판매됩니다.
Origin Gaming 플랫폼은 소셜 기능도 갖추고 있어 계정 소유자가 채팅 앱을 통해 친구들과 연결하거나 직접 게임 세션에 참여할 수 있습니다. 또한 이 플랫폼은 Facebook, Xbox Live, Play Station Network 및 Nintendo Network를 포함한 여러 소셜 네트워킹 사이트와의 커뮤니티 통합 기능을 갖추고 있습니다.
연구원들이 발견한 취약점으로 인해 해커는 이 취약점을 악용하여 결국 사용자의 SSO(Single Sign-On) 자격 증명을 얻을 수 있습니다.
Check Point는 이 보안 문제를 EA Games에 공개했으며 취약점을 해결하기 위해 협력하고 있습니다.
Electronic Arts의 게임 및 플랫폼 보안 담당 수석 이사인 Adrian Stone은 이메일 성명에서 다음과 같이 말했습니다.
EA Games 플랫폼은 서비스를 운영하기 위해 여러 가지 도메인 이름을 사용합니다. ea.com 및 EA Digital Store인 Origin.com이 있습니다. 두 도메인 이름 모두 EA 계정에 로그인하는 데 사용할 수 있습니다.
EA Games와 같은 클라우드 서비스는 특정 클라우드 공급자의 관리 호스트에 하위 도메인 주소를 등록합니다. 예를 들어 eaplayinvite.ea.com의 DNS 포인터는 호스트 목록 ea-invite-reg.azurewebsites를 가리킵니다. net - 서비스가 당시 백그라운드에서 실행 중입니다.
EA Games는 Microsoft Azure를 사용하여 ea.com 및 Origin.com을 포함한 여러 도메인 이름을 호스팅합니다. Azure 사용자 계정 소유자는 특정 서비스 이름을 등록하여 도메인 이름 및 하위 도메인을 연결할 수 있습니다.
EA 플랫폼을 조사하는 동안 CyberInt는 ea-invite-reg.azurewebsites.net 서비스가 더 이상 Azure 클라우드 서비스에서 사용되지 않지만 특정 하위 도메인 eaplayinvite.ea.com은 여전히 통과한다는 사실을 발견했습니다. CNAME 이 서비스에 대한 리디렉션을 구성합니다.
eaplayinvite.ea.com의 DNS 포인터는 CNAME 레코드 ea-invite-reg.azurewebsites.net을 가리킵니다.
따라서 연구원들은 실제로 도메인 이름 정보 리디렉션을 하이재킹했으며, eaplayinvite.ea .com 도메인 이름이 Azure Cloud Web Services 계정으로 리디렉션되었습니다.
일련의 단계를 거쳐 SSO 자격 증명을 얻는 것은 어렵지 않습니다. 체크포인트가 바로 그런 일을 합니다. 이들은 사용자가 하이재킹된 EA 하위 도메인으로 보낸 HTTP 요청에서 *returnURI* 매개변수를 수정했습니다. 회사는 하이재킹된 하위 도메인의 인덱스 페이지에 Iframe을 삽입하여 Iframe에서 요청이 시작되도록 허용함으로써 서버의 HTTP Referer 헤더 확인을 우회했습니다.