Düzeltme sunucu tarafında dağıtıldı ve kullanıcıların korunmaya devam etmesi için ek adımlar uygulaması gerekmiyor
Microsoft, Xbox web sitesinde tehdit aktörlerinin Xbox oyuncu etiketlerini kullanıcıların gerçek e-posta adreslerine bağlamasına yol açabilecek bir hatayı düzeltildiğini duyurdu.
Güvenlik açığı, şirketin yakın zamanda başlatılan Xbox hata ödül programı aracılığıyla Microsoft'a bildirildi. Bu yıl konuyu Microsoft'a bildiren birkaç güvenlik araştırmacısından biri olan Joseph "Doc" Harris, bulgularını bu hafta başında ZDNet ile paylaştı.
Güvenlik araştırmacısı, hatanın, Xbox kullanıcılarının Xbox profillerine karşı grevleri görüntülemeye gittikleri web portalı olan ve Xbox ağındaki davranışları nedeniyle haksız bir şekilde kınama cezası aldıklarını düşündükleri takdirde itiraz başvurusu yaptıkları web portalı olan force.xbox.com'da bulunduğunu söyledi.
Kullanıcılar bu web sitesinde oturum açtıktan sonra, Xbox Enforcement sitesi tarayıcılarında web oturumlarının ayrıntılarını içeren bir tanımlama bilgisi dosyası oluşturur, böylece siteyi tekrar ziyaret ettiklerinde yeniden kimlik doğrulaması yapmak zorunda kalmazlar.
Harris, bu portalın çerez dosyasının şifrelenmemiş bir Xbox kullanıcı kimliği (XUID) alanı içerdiğini söyledi.
Harris, tüm modern tarayıcılarda bulunan araçları kullanarak, XUID alanını düzenledi ve Xbox hata ödül programının bir parçası olarak test etmek için oluşturduğu ve test etmek için kullandığı bir test hesabının XUID'siyle değiştirdi.
Microsoft geçen ay bu hata için bir yama dağıttı. Harris bize "Düzeltme XUID'yi şifrelemekti," dedi.
Bir Microsoft sözcüsü Salı günü bir e-postada, düzeltmenin sunucu tarafında dağıtıldığını ve "kullanıcıların korunmaya devam etmek için atmaları gereken ek adımlar yok" dedi.
Harris, diğer Xbox alt alanlarının aynı sorundan muzdarip olmadığını söyledi.
Hata raporlarını deneyen Microsoft'un Güvenlik Yanıt Merkezi için çalışan bir güvenlik analisti, hatanın Xbox hata ödül programı tarafından kapsanmadığını söyledi, ancak şirket, Harris'i Bug Bounty Hall of Fame'de, ne olursa olsun, katkıda bulunan olarak göstermeyi kabul etti.
Microsoft, bu hatayı Xbox'ı ele geçirmek için kullanılamadığı için parasal bir ödüle layık olarak sınıflandırmasa da, hata, tehdit aktörlerinin herhangi bir Xbox oyuncu etiketini bir oyuncunun gerçek e-posta adresine bağlamasına izin verebilirdi.
E-posta hesaplarını oyuncuların gerçek dünyadaki kimlikleriyle ilişkilendirmek birçok soruna yol açtı ve bu günlerde, en küçük kişisel bilgilerden bile farklı çevrimiçi profiller arasında bağlantı kurabilen çok sayıda OpSec aracının yardımı ile önemsiz hale geldi.
Rapora göre, Microsoft'un Güvenlik Yanıt Merkezi'nde çalışan ve hata raporlarını deneyen bir güvenlik analisti, hatanın Xbox hata ödül programı tarafından kapsanmadığını ortaya çıkardı, ancak şirket Harris'i Bug Bounty Hall of Fame olarak kullanmaya devam etmeyi kabul etti.
Harris, portalın çerez dosyasının şifrelenmemiş bir Xbox kullanıcı kimliği alanı içerdiğini açıkladı. Harris sonradan XUID alanını düzenledi ve onu, hata ödül programının bir parçası olarak test etmek için oluşturduğu ve kullandığı bir test hesabının XUID'si ile değiştirdi.
Bir Microsoft sözcüsü, düzeltmenin sunucu tarafında uygulandığını ve kullanıcıların korunmaya devam etmesi için atılması gereken ek adımlar olmadığını açıkladı.