PlayStation Now corrige la vulnérabilité qui permettait aux cybercriminels d'exécuter du code à distance sur les PC Windows

Une faille critique dans l’application cloud PlayStation Now aurait pu permettre aux hackers d’injecter du code malveillant sur les appareils fonctionnant sous Windows.

La vulnérabilité a été signalée le 13 mai par le chasseur de bugs Parsia Hakimian, et corrigée par Sony le 25 juin.

Le bug, résidant dans une application AGL non sécurisée, affectait les versions 11.0.2 et antérieures de PlayStation Now sur les machines exécutant Windows 7 SP1 et ultérieures.

«La version 11.0.2 de l’application PlayStation Now est vulnérable à l’exécution de code à distance (RCE)», a déclaré Hakimian. “Tout site Web chargé dans n’importe quel navigateur sur la même machine peut exécuter du code arbitraire sur la machine via une connexion Websocket vulnérable.”

Dans sa description d’une attaque, Hakimian a déclaré qu’un cybercriminel pouvait envoyer un script malveillant aux utilisateurs via des forums en ligne ou Discord. En accédant au lien sur leur ordinateur, les scripts malveillants du site Web se connectent au serveur WebSocket local [ws: // localhost: 1235] et demandent à AGL (application Electron) de charger et d’exécuter du code Node malveillant sur l’appareil cible.

«Tout JavaScript chargé par AGL pourra générer des processus sur la machine. Cela peut conduire à l’exécution de code arbitraire », a ajouté Hakimian. “L’application AGL ne vérifie pas les URL qu’elle charge.”

Les résultats ont valu au chercheur une énorme prime de 15 000 $ attribuée par le programme de prime aux bugs HackerOne de PlayStation.

Le correctif n’aurait pas pu arriver à un meilleur moment pour la communauté des joueurs en ligne, puisque le service de jeu sur cloud a gagné plus de 2,2 millions d’abonnés en 2020.