MSI Z390 Gaminggear Bundle

Klick und weg: XSS-Lücke bei Fortnite

Meldung von doelf, Montag der 21.01.2019, 10:59:36 Uhr

Die Sicherheitsexperten von "Check Point Research" haben eine Möglichkeit gefunden, fremde Fortnite-Konten per Cross-Site-Scripting (XSS) zu übernehmen. Einfach das Opfer dazu bringen, auf einen Link zu klicken, und schon hat der Angreifer vollen Zugriff auf das Konto des Spielers. Zumindest hat Epic Games schnell reagiert und die Lücke gestopft.

Zunächst hatten die Sicherheitsexperten den Datenbankserver ausgekundschaftet und dann eine XSS-Lücke über die Sucheingabe auf der Subdomain ut2004stats.epicgames.com ausgemacht. Den Durchbruch brachte letztendlich der Single Sign-on (SSO), mit dem Epic eine Anmeldung über Microsofts XBox Live, Nintendo, Sonys PlayStation Network bzw. Facebook oder Google+ ermöglicht. Beim Klick auf "Anmelden" generierte Epic nämlich eine URL, welche einen Umleitungs-Link enthielt. Und dieser ließ sich gegen eine beliebige URL unter der Domain epicgames.com austauschen, also auch gegen die Subdomain mit der XXS-Lücke. Folglich bastelten die Forscher einen Link mit angepasster Umleitung samt XXS-Exploit, welchen man dem Opfer nur noch per Messenger, sozialem Netzwerk oder E-Mail zuspielen musste. Sobald der Link angeklickt wurde, landete der OAuth-Login-Token beim Angreifer, der damit vollen Zugriff auf das Benutzerkonto seines Opfers hatte.

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]