Les joueurs de Minecraft et ceux qui exécutent des serveurs Minecraft sont confrontés à une nouvelle vulnérabilité de sécurité dangereuse qui pourrait permettre à de mauvais acteurs d’exécuter du code à distance sur leurs ordinateurs. Surnommé « BleedingPipe » par un groupe d’utilisateurs appelé MMPA (Minecraft Malware Prevention Alliance), l’exploit utilise la désérialisation Java pour infecter les serveurs ou les clients sur lesquels l’un des nombreux mods populaires est installé. Si vous ne jouez pas à Minecraft sur un serveur qui possède l’un des mods et que vous n’utilisez pas les mods, vous ne pouvez pas être infecté.

Le nombre de mods Minecraft vulnérables est considérable. Un étudiant allemand en informatique qui passe par Dogboy21 sur GitHub, a identifié trois douzaines de mods populaires qui présentent la vulnérabilité, allant d’AetherCraft à Immersive Armors en passant par ttCore. Github de Dogboy21 La page contient également un correctif pour résoudre le problème, qui consiste à obtenir un nouveau fichier JAR à placer dans votre dossier mods. Le Article de blog de MMPA répertorie encore plus de mods concernés et affirme que, plus précisément, les modpacks des versions 1.7.10 et 1.12.2 sont ceux qui sont vulnérables.

BleedingPipe fonctionne en tirant parti d’un problème avec la classe ObjectInputStream en Java. Un pirate peut fournir des données au serveur avec un code qui fait quelque chose de malveillant, puis, lorsque le serveur reçoit le code et le « désérialise » (le changeant de binaire en objet), ce code est exécuté côté serveur. De même, si le serveur lui-même est infecté, il pourrait renvoyer des données binaires à un client (un joueur) dont le PC les désérialise localement et exécute le code.

Il existe une fantastique vidéo youtube qui explique comment fonctionnent les vulnérabilités de désérialisation sur la chaîne PwnFunction.

Si un mauvais acteur est capable d’exécuter du code côté serveur ou côté client, les possibilités sont presque infinies. Ils pourraient trouver des moyens d’exfiltrer vos données utilisateur et de les utiliser pour le vol d’identité ou pourraient prendre le contrôle de votre ordinateur et l’utiliser pour des attaques Botnet sur d’autres systèmes.

Début juillet, un joueur qui passe par Yoyoyopo5 exécutait un serveur public utilisant les mods Forge 14.23.5.2860 et, lors d’une diffusion en direct, un utilisateur malveillant a exploité BleedingPipe pour prendre le contrôle et exécuter du code sur l’appareil de chaque joueur connecté. Dans son poster sur l’incidentYoyoyopo5 dit que le pirate a utilisé le code à distance pour voler les informations de session du navigateur, de Discord et de Steam.

Selon le MMPA, un acteur malveillant a scanné tous les serveurs Minecraft sur l’espace d’adressage IPv4 et peut leur avoir déployé une charge utile malveillante. Ainsi, tout serveur exécutant un mod affecté pourrait être infecté.

BleedingPipe est similaire, mais apparemment pas identique, à un autre exploit récemment découvert dans Log4j, une bibliothèque de journalisation Java. Minecraft.net, un site officiel de Microsoft, a un avertissement avec atténuations pour le Log4j vulnérabilité.

Alors que faire pour se protéger ? Si vous êtes un joueur qui joue sur les serveurs d’autres personnes, MMPA recommande de vérifier les fichiers infectés dans votre répertoire .minecraft, en utilisant un scanner tel que JSu ou jAiguille. Dogboy21 recommande Télécharger son patch si vous utilisez l’un des mods.

Si vous exécutez un serveur, MMPA suggère d’exécuter JSus ou jNeedle sur tous vos mods installés. MMPA suggère également de mettre à jour les dernières versions d’EnderIO ou de LogisticsPipes, si vous les utilisez. Il est également indiqué d’utiliser le fork « GT New Horizons » de BDLib, si vous l’utilisez. Le groupe a également créé son propre module de sécurité appelé Bloqueur de tuyauxqui est censé bloquer ces attaques.