Новости Когда хакеры страшнее криперов: в модах Minecraft обнаружили серьезную уязвимость

NewsMaker

I'm just a script
Премиум
13,854
20
8 Ноя 2022
Игроки рискуют навсегда потерять свои данные в бездне Эндермира.


gw9xrzt99dfiuxvyitqi1z6kcyppo900.jpg


Игроки и владельцы серверов Minecraft Для просмотра ссылки Войди или Зарегистрируйся с новой и опасной уязвимостью, позволяющей злоумышленникам выполнить удаленный код на их компьютерах. Уязвимость, получившая название «BleedingPipe», была обнаружена группой MMPA (Minecraft Malware Prevention Alliance). Для заражения серверов, на которых установлен один из многих популярных модов, эксплуатируется проблема десериализации Java, то есть преобразования данных из двоичной формы обратно в исходный объект. Если игроки не используют моды или не играют на серверах с модами, они не могут быть заражены.

BleedingPipe использует проблему ObjectInputStream. Сначала хакер отправляет серверу вредоносные данные. Код сразу принимается и «десериализуется». Аналогично, если сам сервер заражен, двоичный код передается обратно клиенту (игроку), чей компьютер локально десериализует и выполнит его.

Студент компьютерных наук из Германии, известный под ником Dogboy21 на GitHub, определил более 30 популярных модов, имеющих уязвимость: от AetherCraft до Immersive Armors и ttCore. На странице Dogboy21 есть патч для исправления проблемы. Он предполагает получение нового JAR-файла, который нужно поместить в папку с модами. В блоге MMPA указаны дополнительные сервера, подверженные риску. Группа утверждает, что конкретно модпаки (наборы модов) версий 1.7.10 и 1.12.2 могут быть опасны.

Если злоумышленник выполнит код на стороне сервера или клиента, его возможности будут почти безграничны. Он легко найдет способ похитить чувствительную информацию и использовать ее для кражи идентификаторов, а также захватить контроль над компьютером для ботнет-атак на другие системы.

В начале июля игрок под псевдонимом Yoyoyopo5 управлял публичным сервером Forge 14.23.5.2860. Во время прямого эфира злоумышленник использовал BleedingPipe, чтобы получить контроль над устройствами всех подключенных пользователей. В своем сообщении об инциденте Yoyoyopo5 говорит, что хакер применил удаленный код для кражи информации из браузера, Discord и Steam.

MMPA утверждает: взломщик сканировал все серверы Minecraft в пространстве адресов IPv4 и, возможно, развернул на них вредоносную программу. Таким образом, любой сервер, на котором работает затронутый мод, может быть заражен.

BleedingPipe похож на другую недавно обнаруженную уязвимость Log4j в библиотеке Java. Minecraft.net, официальный сайт Microsoft, содержит предупреждение и информацию о том, как устранить Log4j.

Что можно сделать для защиты? Игрокам, использующим чужие серверы, MMPA рекомендует проверять каталог на наличие зараженных файлов с помощью сканеров, таких как JSus или jNeedle. Dogboy21 советует загрузить его Для просмотра ссылки Войди или Зарегистрируйся .

Для тех, кто управляет сервером, предлагается запустить JSus или jNeedle на всех установленных модах. Также можно обновиться до последних версий EnderIO или LogisticsPipes. Группа создала свой собственный мод безопасности под названием Для просмотра ссылки Войди или Зарегистрируйся , который должен блокировать атаки.
 
Источник новости
www.securitylab.ru

Похожие темы