Originクライアントにおける越権の脆弱性
EASEC-2019-001
深刻度: 重要
CVSSスコア: 8.4
影響: ユーザー権限の超越
状態: 修正済
影響を受けるソフトウェア:Origin Mac版・PC 版 10.5.55.33574 (またはそれ以前)
内容
PC版およびMac版のOriginクライアントサービス(10.5.55.33574以前)には、管理者以外のユーザーが権限を越えてシステムにアクセスできるようになる可能性がある、2つの脆弱性が存在します。 ユーザーが誤ったアクセス権を取得したら、システムを制御して、高い権限を持つユーザーやシステム管理者にしか行えない行為を実行できるようになる場合があります。
攻撃シナリオ
攻撃者がこの脆弱性を利用するには、Originクライアントがインストールされているコンピューターへのログインができる、有効なユーザー資格情報を持っている必要があります。ログインに成功すると、攻撃者は特別な細工を施したプログラムをインストールするか、影響を受けた Originのインストールディレクトリの内容を変更するコードを実行する必要があります。その後、Originクライアントを停止して再起動する必要があります。
軽減策
軽減策を実行すると、攻撃側がこの脆弱性を利用できる可能性や影響を制限することができます
- 攻撃を成功させるためには、Originクライアントがインストールされているローカル機上でユーザーが有効なアカウントを使用する必要があります。
回避策
回避策は、EAのお客様がアップデートをインストールできないか、インストールしない場合に、攻撃者がこの脆弱性を利用できる可能性を減らすための手順です。
- 権限のないユーザーが脆弱性を悪用する可能性を一時的に制限するために、システム管理者はローカルのログイン権限を削除するか、管理者以外のアカウントを無効にすることができます。
解像度
プレイヤーが管理者権限を持つ脆弱性に対処するには、Originクライアントのバージョン 10.5.56.33908 (またはそれ以上) の最新バージョンをインストールすることをお勧めします。
Originクライアントのアップデートバージョンをインストールする際には、管理者がOriginクライアント内で「制限付きユーザーモード」を有効にする必要があります。「制限付きユーザーモード」を有効にする方法の詳細は、こちらをご覧ください。
よくある質問
問題の深刻度はどのように決まりますか?
深刻度は、「クリティカル」から「低」までの4段階評価に基づきます。調査の際、EAのセキュリティエンジニアは全体的な悪用の容易さと、攻撃者がこの脆弱性を悪用するために求められる方法を特定します。通常は大悪用に至るまでの障壁が少なく、セキュリティにより強い影響を与えられる場合に、問題の深刻度が高まります。
権限の超越とは?
権限の超越は、STRIDEセキュリティモデルに準じた惰弱性分類で、通常はアプリケーションまたはユーザーから、リソースへのアクセスを得るために使用されるものです。結果として、アプリケーションかユーザーは、アプリケーション開発者かシステム管理者が意図したよりも多くの権限を持つことになり、OS設定の変更、ユーザー権限の変更、OS設定へのアクセス許可といった未承認のアクションを実行できるようになります。
脆弱性の原因を教えてください。
この脆弱性は、Originクライアントが利用するインストールディレクトリ内に存在する、システムファイルに対して過度な権限を持ったACLによって引き起こされます。
惰弱性があるかどうかを判定する方法を教えてください。
Originクライアントのバージョン10.5.55.33574以前がシステムにインストールされている場合は、この問題への惰弱性が存在します。
アップデートを行うと、脆弱性はどのように解決されますか?
アップデートを行うと管理者ユーザーがアクセスを制限し、非管理者ユーザーの変更権限を制限できるようにすることで、脆弱性に対処できます。アップデートの詳細については、以下のEAヘルプ記事を参照してください。
「制限されたユーザーモード」がデフォルトで有効になっていないのはなぜですか?
Originクライアントの現在のアーキテクチャに基づいて、Originサービスで使用されているシステムファイルへのアクセスを制限すると、管理者以外のユーザーに対する一部の機能の使用が制限されてしまいます。そのため、システム管理者が個別の運用状況にもとづいて、これらの機能制限と惰弱性が使用される可能性の影響を検討したうえで行動を選択できるようにしました。
この脆弱性はEAの顧客に対して使用されていますか?
されていません。本勧告を公開した時点では、この脆弱性を利用したEAプレイヤーに対する攻撃は確認されていません。
謝辞
惰弱性の公開協力の慣例に準じて問題を発見し報告された以下のセキュリティ調査者に、お礼をお伝えします。
- Vasily Kravetz(AMonitoring): CVE-2019-19247およびCVE-2019-19248の報告について
- Matt Nelson: CVE-2019-19248の報告について
公開日:2019/12/10
バージョン: 1.0