Грешки в сигурността, открити в приложението за игри в облак PlayStation Now (PS Now), позволяват на хакерите да изпълняват произволен код на устройства с Windows, работещи с уязвими версии на приложения. PlayStation вече достигна над 2,2 милиона абонати в края на април 2020 г. от старта на услугата през 2014 г.

Уязвимостите, открити от ловеца на грешки, Парсия Хакимян, засегнаха PS Now версия 11.0.2 и по-стари на компютри с Windows 7 SP1 или по-нова версия. Хакимян съобщи за грешката на PS Now на 13 май 2020 г. чрез официалната програма за награди за откриване на грешки на PlayStation на HackerOne. PlayStation  обърна внимание на грешката и отбеляза доклада за грешката като „Решен“ един месец по-късно, на 25 юни 2020 г. Хакимян получи награда от  15 хиляди долара  за доклада си, въпреки че подаването му не беше в обхвата – т.е. засягаше приложение за Windows и нито един от целевите активи, включени в програмата за награди за грешки (системите PlayStation 4 и PlayStation 5, операционни системи , аксесоари или мрежата на PlayStation.)

Приложението Insecure Electron излага потребителите на RCE атаки

Хакимян установи, че когато са свързани във верига, критичните проблеми със сигурността позволяват на неупълномощени хакери да стартират атаки за дистанционно изпълнение на код (RCE) чрез злоупотреба със слабостта и инжектирането на код. „Всеки уебсайт, зареден във всеки браузър на една и съща машина, може да изпълнява произволен код на машината чрез уязвима връзка с уебсайта“, каза Хакимян. Нападателите могат да стартират злонамерен код на компютъра на потребител на PS NOW чрез локален сървър WebSocket, стартиран от psnowlauncher.exe на порт 1235, като използва приложението AGL Electron, което се появява след стартиране. „JavaScript, зареден от AGL, ще може да създава процеси на машината“, обясни още изследователят. „Това може да доведе до произволно изпълнение на код. Приложението AGL не извършва проверки на това кои URL адреси зарежда.“

Това е възможно, тъй като сървърът websocket, стартиран на устройството на целта, не извършва ниакви заявки за проверка на произхода. За да се възползват успешно от грешката RCE, нападателите трябва да убедят потребителя на PS NOW, чието устройство искат да компрометират, да отвори специално създаден сайт, използвайки злонамерена връзка, предоставена чрез фишинг имейли, форуми, канали Discord и т.н.

След като го отворят във всеки уеб браузър на своя компютър, злонамерените скриптове на уебсайта ще се свържат с локалния сървър WebSocket и ще помолят AGL да зареди злонамерен Node код от друг сайт и да го стартира на устройството на целта.

Програми за награди на Sony 

Sony обяви стартирането на публичната си програма снагради за откриване на грешки HackerOne PlayStation през юни 2020 г. Тази програма  плаща на изследователите по сигурността и геймърите за докладване на проблеми със сигурността, открити в системите PlayStation 4 и 5, операционни системи, аксесоари и мрежата PlayStation Квалифицираните заявки за грешки в PlayStation отговарят на условията за изплащане на награди, вариращи от $ 100 за уязвимост на PlayStation Network с ниска тежест до $ 50 000 за критичен недостатък на PlayStation 4. Тази програма с награди за откриване на грешки вече се изпълняваше частно с някои изследователи по сигурността, когато беше стартирана през юни, което обяснява твърденията на Хакимян един месец преди стартирането на програмата. Компанията също така изпълнява отделна програма за разкриване на уязвимости на HackerOne от октомври 2017 г., която позволява на ловците на  грешки да докладват за класифицирана уязвимост на сигурността в продукти или уебсайтове на Sony, които не са обхванати от програмата PlayStation. PlayStation Now не е единствената услуга за стрийминг на игри, базирана на облак, която реши тази година критичен проблем със сигурността. NVIDIA също пусна актуализация на защитата за отстраняване на уязвимост в приложението за игри в облак GeForce Now, която позволява на хакерите да изпълняват произволен код или да ескалират привилегии на системи, работещи с неизправен софтуер.

Източник: По материали от Интернет
Share on facebook
Share on twitter
Share on linkedin
Share on google
Share on email

Подобни публикации

15 януари 2022

НАД 1.7 МЛН СЕКРЕТНИ ДОКУМЕНТА НА ПОЛСКАТА АРМИ...

Над 1,7 милиона класифицирани документа, свързани с всички аспекти ...
14 януари 2022

КАКВО ПРЕСТАВЛЯВАТ КВАНТОВИТЕ ИЗЧИСЛЕНИЯ

Като част от плановете си след Brexit, премиерът Борис Джонсън обяв...
8 януари 2022

КАК ДА СЕ ПРЕДПАЗИТЕ ОТ ХАКВАНЕ ПРЕЗ НОВАТА ГОДИНА

Целите, които си поставяте за  за Новата година са високи! Една от ...
7 януари 2022

ХАКЕРИ ИЗПОЛЗВАТ ВИДЕОПЛЕЙЪР, ЗА ДА КРАДАТ КРЕД...

Хакери използваха облачна видео хостинг услуга, за да извършат атак...
24 декември 2021

7 КОЛЕДНИ ИЗМАМИ

Коледа би трябвало да е време на радост и доброта, но за съжаление ...
23 декември 2021

РАЗРАБОТЧИЦИТЕ НА ВАКСИНИ СРЕЩУ COVID СА ПОДЛОЖ...

Вече повече от година, производителите на продукти за киберсигурнос...
17 декември 2021

EVIL TWIN ATTACK - КАКВО ПРЕДСТАВЛЯВА

Evil Twin Attack  е кибератака за измама, която работи, като подмам...
13 декември 2021

БРИТАНСКИ УЧИТЕЛИ ПОДЛОЖЕНИ НА ТОРМОЗ В TikTok ...

Учителите в Обединеното кралство съобщиха за тревожна нова тенденци...

Мнения и коментари

(0.0)
0.0/5
{{ reviewsTotal }} Review
{{ reviewsTotal }} Reviews
{{ options.labels.newReviewButton }}
{{ userData.canReview.message }}
Бъдете социални
Share on facebook
Share on twitter
Share on linkedin
Share on google
Share on email
Още по темата
14/01/2022

КАКВО ПРЕСТАВЛЯВАТ КВАНТОВИ...

Като част от плановете си след...
08/01/2022

КАК ДА СЕ ПРЕДПАЗИТЕ ОТ ХАК...

Целите, които си поставяте за  за...
24/12/2021

7 КОЛЕДНИ ИЗМАМИ

Коледа би трябвало да е време...
Последно добавени
15/01/2022

НАД 1.7 МЛН СЕКРЕТНИ ДОКУМЕ...

Над 1,7 милиона класифицирани документа, свързани...
14/01/2022

КАКВО ПРЕСТАВЛЯВАТ КВАНТОВИ...

Като част от плановете си след...
08/01/2022

КАК ДА СЕ ПРЕДПАЗИТЕ ОТ ХАК...

Целите, които си поставяте за  за...
Ключови думи