Proyecto Cero, un equipo de analistas expertos en seguridad de Google, ha informado de un grave error de seguridad que afecta a los usuarios de PC de todos los juegos de Blizzard, pues se encuentra en su instalador, Battle.net. De este modo, afecta a los usuarios de títulos como Overwatch, World of Warcraft, Diablo III, StarCraft, etc.
El fallo se encuentra en la herramienta de actualización de Battle.net. Battle.net es una instalación obligatoria para acceder a los títulos y servicios en línea de la compañía.
El error permite engañar a los protocolos de seguridad
La herramienta crea un servidor RPC ("remote procedural call", o "llamada a procedimiento remoto", una técnica para la comunicación entre procesos en una o más computadoras conectadas a una red en nuestro equipo que utiliza el puerto 1120 para gestionar órdenes y aceptar comandos para instalar, desinstalar o actualizar los juegos.
El error permite engañar a los protocolos de seguridad con lo que se conoce como "DNS Rebinding". Es decir, logra hacer creer que una fuente externa no fiable es fiable al hacerse pasar por otra. De este modo, puede inyectarse código en la máquina del usuario.
Proyecto Cero alertó a Blizzard en diciembre y trabajaron en una solución. En teoría la última actualización de Blizzard para Battle.net debía corregir este error, pero ahora Proyecto Cero ha comprobado que no es así. Blizzard ha confirmado que están trabajando en otra solución con la que esperan solventar definitivamente este problema de seguridad.
Un error que podría estar presente en más compañías
Si Proyecto Cero ha dado a conocer la situación es porque Blizzard cesó sus comunicaciones unilateralmente y, tras comprobar que la actualización ofrecida era inútil, se ha decidido llamar la atención sobre el problema para que pueda ser solucionado de una vez por todas.
Proyecto Cero sospecha que esta vulnerabilidad podría existir en más videojuegos o plataformas de servicios en línea, por lo que han anunciado que en las próximas semanas realizarán pruebas en centenares de títulos para ver si están afectados y que los errores de seguridad potenciales que se encuentren sean arreglados lo antes posible.