PT-2022-28252 · Microsoft · Minecraft Bedrock
Publicado
2022-01-21
·
Atualizado
2022-01-21
CVSS v3.1
4.7
Média
| Vetor | AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
PocketMine-MP versões 3.x
Descrição
Este problema afeta a autenticação do Minecraft Bedrock, onde a criptografia do protocolo está intimamente ligada ao processo de autenticação. Servidores conectados diretamente à Internet estão vulneráveis, mas aqueles atrás de um proxy não estão, desde que o proxy suporte a criptografia do protocolo. O problema surge porque o processo de verificação apenas garante que o token foi emitido pela Microsoft, e não que o cliente possua a chave privada correspondente. Isso permite um ataque de repetição de login, no qual um invasor envia um login capturado de outra sessão. O ataque pode ser evitado ativando a criptografia, o que garante a autenticidade do cliente. O número estimado de dispositivos potencialmente afetados não foi especificado. Não há menção a incidentes reais em que essa vulnerabilidade tenha sido explorada.
Os detalhes técnicos incluem:
-
O cliente gera uma chave ECC privada
clientPrivpara criptografia. -
Um JWT contendo a chave pública
clientPubé assinado pelos servidores da Microsoft com a chave pública raiz da MojangmojangPub. -
O servidor verifica a assinatura do token com
mojangPub, mas isso não garante que o cliente possuaclientPriv. -
Pontos de extremidade da API e variáveis como
clientPub,serverPub,clientPriveserverPrivestão envolvidos no processo de criptografia. -
Nomes de funções como ECDH são usados para criptografia.
Recomendações
Para a versão 3.x do PocketMine-MP: atualize para a versão 4.x ou aplique a correção da com
Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Minecraft Bedrock