Project Zero Milik Google, baru saja melaporkan permasalahan keamanan pada client Battlenet yang mengancam semua pemain game Blizzard. Bug tersebut berimbas pada keamanan akun PC Users Blizzard. Kelemahan keamanan ini ditemukan pada update tool Battle.net yaitu Blizard Update Agent.
Tools tersebut membuat server RPC (Remote Procedure Call), teknik untuk berkomunikasi antar komputer yang menggunakan port 1120 untuk menerima dan mengatur perintah untuk menginstall atau mengupdate game. Travis Ormandy selaku peneliti dari Project Zero telah memperingatkan kelemahan ini pada 8 december 2017, awalnya Blizzard menggunakan autentikasi untuk memastikan bahwa users adalah pemilik sebenarnya, namun Ormandy mengatakan bahwa website apapun bisa membuat DNS yang dapat diterima oleh Blizzard.
Kalian bisa membuktikan serangan pada link ini
Kelemahan sistem ini sangat rawan akan sebuah serangan “DNS Rebinding”. DNS Rebinding mampu membuat sistem keamanan Client Blizzard untuk menganggap sumber tidak jelas dari luar, menjadi sumber terpercaya ketika melewati sistem keamanan tersebut. Hal tersebut membuat komputer user dapat terinjeksi suatu kode tertentu dan mengancam akun-akun player Blizzard.
All Blizzard games (World of Warcraft, Overwatch, Diablo III, Starcraft II, etc.) were vulnerable to DNS rebinding vulnerability allowing any website to run arbitrary code. ? https://t.co/ssKyxfkuZo
— Tavis Ormandy (@taviso) 22 Januari 2018
Melalui akun twitternya Travis Ormandy membeberkan semua temuanya dan telah ia laporkan kepada Blizzard, namun Blizzard tiba-tiba berhenti berkomunikasi dengan Ormandy pada tanggal 22 Desember. Pihak Blizzard sendiri ternyata secara diam-diam melakukan perbaikan kelemahan sistem tersebut tanpa di sadari penggunanya. Cara tersebut tak disambut baik oleh Ormandy, ia merasa bahwa Blizard memperbaiki hal tersebut tanpa sepengatahuan dia, seharusnya ia menyampaikan jika ingin melakukan suatu update.