Sicherheitslücke zur Rechteausweitung im Origin-Client
EASEC-2019-001
Schwere: Wichtig
CVSS-Score: 8,4
Auswirkung: Rechteausweitung
Status: Behoben
Betroffene Software: Origin Version 10.5.55.33574 (oder älter) für Mac & PC
Beschreibung
Der Origin-Client der Version 10.5.55.33574 und älter für PC und Mac besitzt zwei Sicherheitslücken, die es einem Benutzer ohne Administratorrechte ermöglichen können, zusätzlichen Zugriff auf das System zu erlangen. Sobald der Nutzer über zusätzliche Zugriffsrechte verfügt, kann er die Kontrolle über das System übernehmen und Aktionen durchführen, die eigentlich privilegierten Nutzern oder Administratoren vorbehalten sind.
Angriffsszenario
Um die Sicherheitslücke erfolgreich ausnutzen zu können, muss der Angreifer über gültige Benutzeranmeldeinformationen verfügen, mit denen dieser sich bei dem Computer anmelden kann, auf dem der Origin-Client installiert ist. Bei erfolgreicher Anmeldung des Angreifers ist es diesem dann möglich, ein speziell kodiertes Programm zu installieren oder Code auszuführen, der den Inhalt der betroffenen Origin-Installationsverzeichnisse ändert. Anschließend muss der Angreifer den Origin-Client beenden und neu starten.
Schadensbegrenzende Maßnahmen
Schadensbegrenzende Maßnahmen beschreiben Faktoren, mit denen die Erfolgschancen oder die Auswirkungen eines Angriffs, der die Sicherheitslücke ausnutzt, eingeschränkt werden kann.
- Für einen erfolgreichen Angriff muss der Benutzer ein gültiges Konto auf dem lokalen Computer besitzen, auf dem der Origin-Client installiert ist.
Alternative Präventionsmaßnahmen
Alternative Präventionsmaßnahmen sind Schritte, die EA-Kunden ergreifen können, um das Risikopotenzial eines Angriffs zur Ausnutzung der Sicherheitslücke zu verringern, wenn sie das Update nicht installieren können oder wollen.
- Um zwischenzeitlich die Wahrscheinlichkeit zu verringern, dass diese Sicherheitslücke von nichtprivilegierten Benutzern ausgenutzt wird, kann der Systemadministrator lokale Anmelderechte aussetzen oder nichtadministrative Konten deaktivieren.
Auflösung
Um die Sicherheitslücke komplett zu schließen, empfehlen wir Spielern mit Administratorrechten, die neueste Version des Origin-Clients 10.5.56.33908 (oder höher) zu installieren.
Nachdem die aktuellste Version des Origin-Clients installiert wurde, muss ein Administrator den „zugriffsbeschränkten Modus“ über den Origin-Client aktivieren. Weitere Informationen zum Aktivieren des „zugriffsbeschränkten Modus“ sind hier zu finden.
Häufig gestellte Fragen:
Wie wird der Schweregrad bestimmt?
Die Schwere des Problems wird auf einer vierstufigen Skala festgelegt, die von „niedrig“ bis „kritisch“ reicht. Im Rahmen unserer Untersuchung bestimmen Sicherheitsbeauftragte, wie leicht die Sicherheitslücke auszunutzen ist und wie ein Angreifer dazu vorgehen müsste. In der Regel wird ein Problem immer dann als schwerwiegend eingestuft, wenn es leichter auszunutzen ist und die Sicherheit stärker beeinträchtigt.
Was ist eine Rechteausweitung?
Eine Rechteausweitung ist eine per STRIDE-Sicherheitsmodell festgelegte Klassifizierung für Systemschwächen, die ausgenutzt werden können, um erweiterten Zugriff auf Systemressourcen zu erhalten, die dem Programm oder Nutzer normalerweise nicht zugänglich sind. Dies führt dazu, dass die Anwendung oder der Nutzer Rechte erhält, die eigentlich dem Entwickler oder Systemadministrator vorbehalten sind. Anschließend können unautorisierte Handlungen wie das Ändern der Betriebssystemkonfiguration, das Ändern der Nutzerrechte oder das Zugreifen auf Daten, die sich auf dem Betriebssystem befinden, durchgeführt werden.
Was ist die Ursache der Sicherheitslücke?
Die Sicherheitslücke wurde durch zu tolerante ACLs für Systemdateien verursacht, die vom Origin-Client in dessen Installationsverzeichnis genutzt werden.
Woher weiß ich, ob mich diese Sicherheitslücke betrifft?
Wenn auf dem System die Origin-Client-Version 10.5.55.33574 oder eine ältere Version installiert ist, ist sie anfällig gegen dieses Problem.
Wie wird die Sicherheitslücke durch das Update behoben?
Das Update behebt die Sicherheitslücke, indem es Administratoren ermöglicht, Zugriff und Bearbeitungsrechte anderer Nutzer einzuschränken. Weitere Informationen zum Update sind im folgenden EA-Hilfe-Artikel zu finden.
Warum ist der „zugriffsbeschränkte Modus“ nicht standardmäßig aktiviert?
Die Art, auf die der Origin-Clients derzeit aufgebaut ist, schränkt den Zugriff auf Systemdateien ein, die von den Origin-Diensten verwendet werden, und begrenzt so die Verwendung einiger Funktionen für Benutzer ohne Administratorrechte. Wir haben beschlossen, es Systemadministratoren zu ermöglichen, diese Funktionen einzuschränken, falls sie in dem Glauben sein sollten, dass diese Sicherheitslücke gegen sie ausgenutzt werden könnte.
Wurde diese Sicherheitslücke gegenüber EA-Kunden ausgenutzt?
Nein. Zum Zeitpunkt der Veröffentlichung dieser FAQ sind uns keine Angriffe auf EA-Spieler bekannt, bei denen diese Sicherheitslücke ausgenutzt wurde.
Danksagung
EA bedankt sich bei den folgenden Sicherheitsforschern für das Entdecken und Melden der Sicherheitslücke in Übereinstimmung mit Praktiken zur koordinierten Veröffentlichung von Sicherheitslücken:
- Wassili Kravetz von AMonitoring für die Meldung von CVE-2019-19247 und CVE-2019-19248
- Matt Nelson für die Meldung von CVE-2019-19248
Veröffentlichungsdatum: 10. Dezember 2019
Version: 1.0