【安全资讯】BattlEye漏洞:'BannleEye'利用允许任意封禁用户
概要:
最近,BattlEye(BE)反作弊系统中发现了一项关键漏洞,可能危及多个知名在线游戏用户账户的安全。该漏洞由安全研究员timoxa565披露,恶意行为者可以利用该系统的身份验证过程,触发不当的账户封禁。主要内容:
该漏洞被称为“BannleEye”,它针对BattlEye客户端和服务器端库(“BEClient.dll”和“BEServer.dll”)之间的通信。攻击者通过在初始化过程中操控“gameName”字段,可以将身份验证过程重定向到一个恶意服务器,从而有效地伪造一个合法的游戏环境。这种操控使得攻击者能够在任何活跃的游戏会话中修改用户身份。timoxa565解释道,攻击者可以故意在虚假服务器上触发反作弊系统,并将数据以其他玩家的名义重定向到真实服务器。这一机制使得攻击者能够错误地将恶意活动归因于目标账户,即使目标用户处于离线状态。BannleEye漏洞突显了依赖服务器验证的服务器端反作弊系统的关键弱点。
timoxa565建议为每个游戏实施独特的密钥,以此作为有效的缓解策略,引用了Easy Anti-Cheat的“X-Secret-Key”。这一方法引发了论坛上的热烈讨论,参与者指出,BE可能默认将任何游戏服务器视为安全,这使得该漏洞能够在多个游戏中生效。BattlEye对此漏洞的存在发表声明,承认某些游戏受到影响,同时保证“绝大多数游戏(包括P2P游戏)不受影响”。
相关链接
https://securityonline.info/battleye-vulnerability-bannleeye-exploit-allows-arbitrary-banning-users/
0条评论
看了这么久,请
登录
,对他说点啥~
0
0
分享
微信扫一扫分享