####################################################################### Luigi Auriemma Applicazione: Xpand Rally http://www.xpandrally.com Versioni: <= 1.1.0.0 Platforms: Windows Bug: format string Exploitation: remoto, contro server e clients (in-game) Data: 09 Mar 2005 Autore: Luigi Auriemma e-mail: aluigi@autistici.org web: aluigi.org ####################################################################### 1) Introduzione 2) Bug 3) The Code 4) Fix ####################################################################### =============== 1) Introduzione =============== Xpand Rally e' il recente gioco di rally sviluppato da Techland (http://www.techland.pl) e pubblicato da Strategy First (http://www.strategyfirst.com) a Settembre 2004. ####################################################################### ====== 2) Bug ====== Il gioco e' affetto da un format string bug che puo' essere sfruttato da un attacker per eseguire codice malevolo tramite l'invio di un messaggio preparato ad arte. L'attacker non puo' inviare il messaggio direttamente dal suo gioco in quanto verra' colpita la sua stessa macchina, quindi e' meglio utilizzare un programma che modifichi i pacchetti al volo (come un proxy UDP per esempio). Sia i servers ed i clients sono vulnerabili e la vulnerabilita' e' in-game. ####################################################################### =========== 3) The Code =========== http://aluigi.org/poc/xprallyfs.zip Un semplice proxy server UDP che sostituisce la parola chiave crashmenow con la sequenza di patterns %n causando il crash del server o del client che la riceve. ####################################################################### ====== 4) Fix ====== No fix. La vulnerabilita' e' stata riportata agli sviluppatori un paio di mesi fa' ma non furono capaci di correggere il bug, li ho ricontattati ancora recentemente ma non ho ricevuto risposta. #######################################################################