Adrian Stone, director sénior de Seguridad de productos de EA
10 de diciembre de 2019
Hemos publicado durante el día de hoy una versión actualizada del Cliente de Origin para solucionar una vulnerabilidad de seguridad que habíamos descubierto. Si se hubiesen dado unas circunstancias concretas, el problema podría haber permitido a un usuario válido con permisos limitados obtener acceso con nivel de privilegio superior en los equipos que tuvieran Origin instalado.
La actualización ya está disponible en el Cliente de Origin. También se puede descargar directamente aquí. No hemos descubierto, durante nuestra investigación y el desarrollo de la actualización, indicios de que se haya explotado esta vulnerabilidad.
Inicialmente, se nos informó del problema mediante el programa de informes de vulnerabilidades del equipo de Seguridad de productos. Agradecemos a Vasily Kravetz, de AMonitoring; y Matt Nelson, por trabajar codo con codo con nosotros durante la investigación y el desarrollo de la solución según las prácticas de Divulgación coordinada de vulnerabilidades.
Hemos publicado unas Advertencias de seguridad con información adicional sobre la vulnerabilidad, y un artículo de ayuda que describe la actualización en mayor profundidad.
Se trata de un problema muy específico que afecta, hemos descubierto, a otras partes del sector de los videojuegos. Por tanto, creemos que debemos compartir más información sobre cómo se ha producido el problema.
Dado que muchos de nuestros jugadores de PC en Origin crean equipos específicos para jugar y utilizan portátiles gaming de alta gama, el Cliente de Origin fue creado bajo el supuesto de que todos los usuarios querrían un control administrativo completo sobre su sistema en todo momento. Desde entonces, el estándar del sector ha empezado a cambiar. Más gente, incluso jugadores habituales, usan su equipo como usuarios estándar "limitados"; y unos cuantos crean otras cuentas de usuario limitado para compartir sus sistemas con más de una persona. Esta práctica, denominada "privilegios mínimos" en los círculos de seguridad, ayuda a limitar el impacto en la seguridad de potenciales problemas de seguridad, si sucediesen. Los proveedores de sistemas operativos han comenzado a reconocer esta tendencia y han aplicado cambios a su sistema operativo para ajustarse a un entorno cambiante.
Si un atacante intentara explotar esta vulnerabilidad, tendría que iniciar sesión en el equipo con una cuenta válida de un usuario no administrador. Además, debería instalar un programa de diseño específico o ejecutar un código que modifique una parte del software para obtener un nivel de acceso elevado.
La gran mayoría de usuarios de Origin actuales ya tienen acceso de administrador y la suya es la única cuenta de usuario del equipo (el número de usuarios sin acceso de administrador es inferior al 5 % del total de usuarios de Origin). Esto hace que el uso de la vulnerabilidad sea poco probable con la mayoría de usuarios, ya que no se podrían obtener privilegios ni un acceso mayor.
Aunque el problema solo habría estado presente para un número pequeño de jugadores con el Cliente de Origin instalado, la seguridad de cada usuario es de suma importancia para nosotros, por lo que estamos encantados de abordar este problema con la actualización de hoy, que presenta el modo de acceso restringido. También nos hemos comprometido a mejorar nuestro enfoque de los principios de "privilegios mínimos" para Origin y el modo de acceso restringido en función de la información que obtengamos en futuras versiones. Las interacciones positivas como esta entre la comunidad de investigación de seguridad y los distribuidores de videojuegos aumentan los niveles mínimos de seguridad.