Close Menu
Login
Actualité Minecraft

Faille chez Mojang.com

Par DrakhusMis à jour le:24 commentaires5 Minutes de lecture

[Le problème est réglé.]

Bonjour à tous,

 

Si vous suivez un peu l’actualité Minecraftienne, vous n’êtes pas sans savoir qu’une histoire de faille, nous a fait migré nos comptes chez Mojang.com pour éviter une perte de compte. Pour en savoir plus sur cette faille, je vous invite à vous rendre chez notre confrère de WTCraft : http://www.wtcraft.com/possible-faille-sur-minecraft-net-11035.html

Eh bien, une nouvelle faille est apparue. Si vous avez migré votre compte chez Mojang.com et que vous recevez une erreur à l’authentification d’un serveur, sachez que Mojang vient de couper les serveurs d’authentification car n’importe quel hackeur peut s’emparer de votre compte. De plus, les serveurs ne sont plus accessible aux personnes ayant leur compte chez Mojang.

Il semblerait que le problème ai été identifié et est en train d’être corrigé.

Pour faire simple :

– Quelqu’un a réussi à pirater un des admins sur le serveur Reddit par la méthode de Brute force et à se faire passer pour lui et utiliser les commandes d’admin.

– Sachez que si et seulement si vous vous loguez avec votre adresse e-mail, vous êtes vulnérable.

– Il est également recommandé d’installer un deuxième plugin d’identification pour les serveurs en attendant.

Soyez rassurés, Notch indique qu’il n’y a aucun soucis du côté de votre mot de passe ou d’autres détails. Ce hack permet à quelqu’un de se connecter avec votre compte avec votre session d’authentification.

Sachez également que Notch travaille déjà dessus pour réparer cette erreur comme indiqué sur son Twitter : https://twitter.com/notch/status/224407321466511360

Pour les personnes ayant leur compte chez Mojang, je vous conseille vivement de changer votre mot de passe. (Ca reste conseillé. On est jamais trop prudent)

Cet article sera mis à jour suivant l’évolution du correctif. Stay tuned !

Faille chez Mojang (Anglais)

UPDATE: 8.41am BST: Mojang have pulled down the session server. This should stop the issue while a proper fix is being worked on!

Hi all. Over the past few days, numerous people have reported notch logging in to their servers. From the dialogue and IP, it was pretty obvious it wasn’t really notch.

Then today on the reddit servers, we had someone log in on the account of one of our head admins. The resulting griefing was quickly caught, the account password changed, and we waited to see if further attacks would follow. After a short period, the same account was used again. The admin, forty_two, confirmed that he hasn’t logged into any unknown servers lately, ruling out a MITM attack. The short time between changing the password and logging in ruled out a brute force attack on the account.

We took the servers down and began investigating. I made a post to /r/admincraft with the thought of cross-comparing plugin lists to find one with a back door. We decompiled and pulled PEX and NoCheatPlus apart, and found no back doors.

To eliminate the chance of it being a plugin bug/backdoor, we put a honeypot server up on c.nerd.nu with a minecraft protocol proxy attached, to record how they were triggering it. Within an hour, the hackers were back and connected to the (now whitelisted) c.nerd.nu server, again as forty_two. Here’s the relevant portion of the log:

[20:01:28] >>> 0x02: Handshake {'username_host': u'forty_two;c.nerd.nu:25565'} [20:01:28] <<< 0x02: Handshake {'connection_hash': u'xxx'} [20:01:29] >>> 0x01: Login request {'username': u'forty_two', 'not_used_6': 0, 'not_used_4': 0, 'not_used_5': 0, 'not_used_2': 0, 'not_used_3': 0, 'not_used_1': u'', 'protocol_version': 29} [20:01:29] <<< 0x01: Login request {'entity_id': 1172, 'world_height': 0, 'not_used_2': 0, 'not_used_1': u'', 'game_mode': 1, 'max_players': 60, 'level_type': u'default', 'dimension': 0}

We also patched bukkit to print information about the authentication step:

[INFO] LoginPacketName forty_two; ServerID xxx; Request URL http://session.minecraft.net/game/checkserver.jsp?user=forty_two&serverId=xxx [INFO] Response is YES [INFO] forty_two [/xxx:54685] logged in with entity id 381 at ([world] 3.399717322546743, 64.0, 10.73634280242685)

What’s striking here is that there’s nothing unusual. If it had been a bukkit plugin backdoor, we’d see some kind of communication with the plugin to tell it to skip the user auth. If it had been some kind of protocol/string packing exploit in minecraft server, again we’d see it in the packets. Nor is a minecraft session server error being triggered. The only explanation is that someone has found an exploit in the minecraft login server. It affects vanilla servers and bukkit servers equally.

After some sleuthing, we determined and confirmed that the exploit only affects accounts which have been migrated to a Mojang account. If you log into minecraft with your email address, you’re vulnerable.

A few hours ago we spoke to Dinnerbone, who got in contact with Grum and EvilSeph, and confirmed the exploit existed. We held off posting, hoping it would be fixed before the griefing community at large finds out about it. Information on how to use this exploit has now been made public, and as such we feel duty bound to advise that all server admins should do as we did and either take your servers offline or install a secondary authentication plugin.

A more detailed post to /r/mcpublic will follow.

TL;DR: hackers can log in as any migrated user! take your server down or use secondary authentication!

En attendant d’en savoir plus, vous n’avez plus qu’à profiter du monde solo, ou sortir dehors et profiter des vacances (s’il fait bon chez vous).

Partager sur les réseaux sociaux
Drakhus

24 commentaires
  1. antoinelepro65 sur

    MAIS OUI MOI AUSSI J’Y PENSE!mon compt a été pris par une autre personne il y a mois, grace a mon pote qui a trouver le mot de passe, je l’ai rechanger et qu’est ce que je vois lorsque je me connecte a un serveur: ban definitif pour grief a répétition.

  2. vivyf sur

    J’ai un gros soucis, j’ai un amis (Totomazine) qui est Admin sur mon serveur « rp » et il ne savait plus se connecter sur minecraft depuis presque 2 semaine, puis un jour je me connecte sur Solicube (serveur) je vois PLEIN de grief je regarde « Totomazine »! j’ai tout de suite ban et reload une sauv, normalement les grief on les répares en « RP » mais avec tout ça …
    ==> c’est comme sa que j’avais compris qu’il c’était fait hacker …

    j’aimerais bien qu’il retrouve son compte :(

    si quelqu’un pourrais aider … ??? svp

  3. Pixelcraft3 sur

    Il y a les hackers blancs(qui pratique le piratage pour la société et donc employé et payé) et las hackers noirs(qui pratique cela pour le plaisir et emmerder les autres)donc notre ami swatchey n’a pas de raison de pirater en compte quelconque.

  5. antoinelepro65 sur

    quand tu pense qu’il (ou ils) y sont arrivez par la force brute, sa te laisse quand même un peu inquiet… mais bon on sait que mojang vont vite régler le probleme.

  6. Squid sur

    Alors si j’ai bien compris, on ne risque rien tant qu’on ne se connecte pas sur un serveur et qu’on reste en solo? Maudit hacker… rien de mieux à faire que d’faire ***** les honnêtes joueurs en vacances. Surtout que -soyons honnête- c’est plus facile de s’acheter carrément un compte au lieux d’aller en voler un.

  10. lesombrehero sur

    J’ai moi aussi un long message d’erreur… En plus c’est le jour ou je décide de rejouer a Minecraft ><. J'espère qu'il réussiront a régler ce problème très vite.

  13. Drakhus sur

    Quand Mojang aura corrigé totalement le problème, mis en place un correctif et remis les serveurs d’authentification.

  15. sticor sur

    Je ne sais pas si il était judicieux de préciser que tu pratique le Hack pendant cet période plutôt embêtante.

  16. beignetdu57 sur

    Hackeur = trou du c_l
    Brute force = logiciel de merde
    Bref C UN SUPER BIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIP
    (pour pas dire le grot mot)

  17. Swatchey sur

    Moi je dis que sa  » hackeur  » a une enorme chance, car Brute force est le logiciel de hack le plus pourri au monde, il faut envrion 1 semaine pour trouver un mot de passe, alors que moi qui suis un petit hackeur pas mechant en 3 heures je trouve 2 mot de passe donc..

    [je tien a dire que je ne hack pas pour le plaisir.]

  18. Sephy sur

    J’ai eu la flemme de migrer…
    J’en suis bien content,courage à ceux qui ne peuvent plus se connecter!
    Du coup,je me demande plus pourquoi mon serveur est vide aujourd’hui.

  19. sticor sur

    Mon dieu ! il a réussi par la force brute ? Il a du laisser son ordi allumé pendant un moment ou avoir une sacrée chance, pour ceux qui ne savent pas la force brute est un moyen de trouver un MDP via un logiciel qui tente au pif une combinaison de chiffre et de lettre a une vitesse… plutôt rapide on va dire.

  22. Mehdiobsi sur

    J’ai migré, mais je ne peux pas me connecter sur mon serveur, ça me met un énorme message à l’horizontal : « Exception: Server returned HTTP response… » comment on fait?

Laissez une réponse