Nintendo heeft de Wii U-servers voor Mario Kart 8 en Splatoon 1 officieel offline gehaald voor tijdelijk netwerkonderhoud, maar het is (eindelijk) mogelijk dat ze de impact onderzoeken van ENLBufferPwn, een ongekende exploit op de 3DS/Wii waarmee aanvallers om de afstandsbediening van de console te bemachtigen. Je eigen afstandsbediening door simpelweg deel te nemen aan dezelfde online game als jij.
Wat is ENLBufferPwn voor Nintendo Switch, Wii U en 3DS?
ENLBufferPwn is een hack die invloed heeft op first-party Nintendo-games op de 3DS, Wii U en Switch. Het werd in december 2022 onthuld en het lijkt erop dat Nintendo op dat moment niet alle games heeft gerepareerd, met name oudere games die op consoles van een oudere generatie draaien (het is niet duidelijk of dit om financiële of technische redenen is).
Bij oudere, minder veilige codebundels worden vooral de 3DS en de Wii U getroffen door een hack waarmee een kwaadwillende gebruiker deze consoles op afstand kan bedienen, simpelweg door deel te nemen aan dezelfde game als jij. (Overstappen wordt minder beïnvloed omdat het uitvoeren van willekeurige code via een game-exploit daar moeilijker is). Uit de eerste openbaarmaking:
NLBufferPwn Het is een beveiligingslek in de gemeenschappelijke netwerkcode van verschillende first-party Nintendo-games sinds de Nintendo 3DS waarmee een aanvaller op afstand code kan uitvoeren op de console van een slachtoffer door bezit te nemen van een online game met hem (externe code-uitvoering). Het werd in 2021 door verschillende mensen onafhankelijk van elkaar ontdekt en in 2021 en 2022 aan Nintendo gemeld. Sinds het eerste rapport heeft Nintendo de kwetsbaarheid in verschillende kwetsbare games gepatcht. De informatie in deze repository is veilig openbaar gemaakt met toestemming van Nintendo.
kwetsbaarheidsregistratie a 9,8/10 (kritiek) In CVSS 3.1 rekenmachine.
Hier is een lijst met games waarvan bekend is dat ze ooit aan het beveiligingslek zijn blootgesteld (alle vermelde Switch- en 3DS-games hebben updates ontvangen die het beveiligingslek verhelpen, dus ze worden niet langer getroffen):
- Mario Kart 7 (opgelost in versie 1.2)
- Mario Kart 8 (nog niet opgelost)
- Mario Kart 8 Deluxe (opgelost in versie 2.1.0)
- Animal Crossing: New Horizons (opgelost in versie 2.0.6)
- ARMS (opgelost in versie 5.4.1)
- Splatoon (nog steeds niet opgelost)
- Splatoon 2 (opgelost in v5.5.1)
- Splatoon 3 (gefixeerd eind 2022, exacte versie onbekend)
- Super Mario Maker 2 (opgelost in v3.0.2)
- Nintendo Switch Sports (gefixeerd eind 2022, exacte versie onbekend)
- misschien meer …
Video’s die op het moment van de onthulling online werden gedeeld, toonden grappige (maar verontrustende) video’s die lieten zien hoe gemakkelijk het is voor iemand om je spel te verpesten door gewoon lid te worden van dezelfde online room als jij, en de exploit werd ook gebruikt om de mogelijkheid te demonstreren om op afstand installeer aangepaste firmware op een console (volledige consoletoegang is een functie die we over het algemeen leuk vinden hier op wololo.net, maar duidelijk niet als dit wordt gedaan zonder dat je het weet). Sommige van deze video’s zijn inmiddels verwijderd, maar je kunt er nog een paar vinden op YouTube.
NLBufferPwn, is mijn Nintendo Switch in gevaar?
Het lijkt erop dat Nintendo eindelijk actie onderneemt om 3DS- en Wii U-bezitters te beschermen (kwaadwillende gebruikers kunnen gemakkelijk profiteren van de hack om je console permanent te vernietigen), door de online toegang tot twee nog steeds getroffen games, Mario Kart 8 en Splatoon 1, te verwijderen.
下 記 wii u ソ フ ト は オ ン ン ラ ン レ レ イ に 関 る 脆弱 性 発 発 見 さ れ た た 、 、 緊急 メ テ テ ナ ナ ナ 施 施 施 施 て て て い ま ま す す す す す す す す す す す す す す す す す す す す す す す す す す す す す す す す す す す
・ ス プ ラ ト ゥ ー ン
・ マ リ オ カ ー ト 8
Niets https://t.co/cQ3JtDhXQC– 任天堂サポート (nintendo_cs) 3 maart 2023
Het is natuurlijk niet officieel vermeld dat onderhoud bedoeld is om ENLBufferPwn aan te pakken, maar de genoemde games (Splatoon en Mario Kart 8) maken het verdacht waarschijnlijk. Dat is tenminste wat de ontwikkelaars van Pretendo denken:
Het lijkt erop dat Nintendo eindelijk de gameservers heeft uitgeschakeld die getroffen zijn door ENLBufferPwn, een 3DS/WiiU-exploit waarmee aanvallers volledige toegang tot een externe console kunnen krijgen door gewoon met hen mee te doen aan de game.
Ze weten niet wanneer de servers weer online zijn. Hopelijk snel! https://t.co/8IcaTwUdS3– Pretendo (@pretendo @pretendo.network) (PretendoNetwork) 3 maart 2023
De verwijdering zou een tijdelijke onderhoudswijziging zijn, dus hopelijk voor gamers die de Wii U nog steeds actief gebruiken voor online gamen, zal het snel terugkeren. Het is natuurlijk zeer waarschijnlijk dat Nintendo ervoor kiest om de bug niet op te lossen en in plaats daarvan gewoon te kiezen voor de online functies van deze spellen op de Wii U.
Zoals hierboven vermeld, hoewel Switch-games op dezelfde manier worden beïnvloed, is het veel moeilijker om een willekeurige code uit te voeren op de Nintendo Switch dan op oudere consoles, en voor zover we weten, is er geen geharde versie van deze hack in het wild voor de Nintendo Switch. .
“Tvaholic. Zombie-geek. Toegewijde reisbeoefenaar. Introvert. Gecertificeerde communicator.”