Sikkerhetsproblem ved rettighetsutvidelse i Origin-klienten
EASEC-2020-002
Alvorlighetsgrad: Viktig
CVSS-karakter: 7.8
Innvirkning: Rettighetsutvidelse
Status: Løst
Berørt programvare: Origin-versjon 10.5.86 (eller tidligere) for Mac og PC
CVE-ID: CVE-2020-27708
Beskrivelse
Det finnes et sikkerhetsproblem i Origin-klienten som kan gjøre det mulig for en bruker som ikke er administrativ bruker å øke tilgangen sin til enten Administrator eller System. Når brukeren har fått økt tilgang, kan vedkommende være i stand til å ta kontroll over systemet og utføre handlinger som ellers er reservert for høyt privilegerte brukere eller systemansvarlige.
Angrepsscenario
For å kunne utnytte sikkerhetsproblemet må angriperen ha den gyldige brukerlegitimasjonen med muligheten til å logge på datamaskinen der Origin-klienten er installert. Etter at en angriper har logget seg på systemet, må vedkommende opprette en mappe med et spesifikt navn på en fast plassering på C: og legge til en spesiallaget Qt-tillegg i mappen.
Økt status i systemet
Etter å ha fulgt trinnene ovenfor kan angriperen økes til NT AUTHORITY\System-privilegier ved å gjøre følgende:
- Stoppe Origin-klienttjenesten.
- Starte Origin-klienttjenesten på nytt.
Økning til administrator
Etter å ha fulgt stegene ovenfor må angriperen enten:
- Vente til en annen bruker med administratorrettigheter har installert installasjonsprogrammet for Origin-klienten eller avinstallasjonsprogrammet for Origin-klienten og følge UAC-økningsmeldingen; eller
- Overbevise den administrative brukeren til å kjøre Origin-klienten, Origin-krasjrapportering eller Origin-feilrapportering med administratorrettigheter.
Begrensninger
Begrensninger beskriver faktorer som begrenser sannsynligheten eller innvirkningen for at en angriper klarer å utnytte sikkerhetsproblemet
- Et vellykket angrep krever at angriperen har en gyldig konto på den lokale maskinen som har installert Origin-klienten.
- For scenarier som øker til administrator, må angriperen overbevise en administrativ bruker om å kjøre et Origin-program med økte rettigheter. Den administrative brukeren må godkjenne en UAC-melding for å gjøre dette.
Midlertidige løsninger
Midlertidige løsninger er trinn som EA-kunder kan følge for å redusere sannsynligheten for at en angriper utnytter sikkerhetsproblemet dersom de ikke kan eller velger å ikke installere oppdateringen.
- For å midlertidig begrense sannsynligheten for at sikkerhetsproblemet utføres av ikke-privilegerte brukere, kan systemansvarlig velge å fjerne de lokale påloggingsrettighetene eller deaktivere kontoer som ikke er administratorer.
Løsning
For å fikse sikkerhetsproblemet rådes spillere med administratorrettigheter til å installere den nyeste versjonen av Origin-klientversjonen 10.5.87 (eller nyere).
Når spilleren logger på neste gang, må spilleren oppdatere før de skriver inn påloggingsinformasjonen sin. Hvis de allerede er logget på, må de starte Origin på nytt for å få oppdateringen.
Vanlige spørsmål
Hvordan fastslås alvorlighetsgraden?
Problemets alvorlighetsgrad baseres på en firepunkters skala fra kritisk til lav. Som en del av etterforskningen vår fastslår sikkerhetsingeniører hvor enkelt det er å unytte sikkerhetsproblemet, og hvordan en angriper må gå frem for å utnytte det på en vellykket måte. Jo færre barrierer som finnes for utnyttelse, kombinert med en høyere sikkerhetskonsekvens, desto høyere er vanligvis problemets alvorlighetsgrad. Mer informasjon om hvordan vi klassifiserer sikkerhetspåvirkning og alvorlighetsgrad finner du her.
Hva forårsaker sikkerhetsproblemet?
Sikkerhetsproblemet forårsakes av måten Origin starter Qt-programmer på, kombinert med hvordan Qt kan konfigureres til å laste inn programtillegg. Dette gjør det mulig for en lokal bruker å manipulere stedene der Origin kan laste inn Qt-tillegg. En angriper kan levere en spesiallaget Qt-tilleggsmodul, som utføres av en administrator eller et system.
Hva er Qt
Qt er et gratis widgetverktøy for å lage grafiske brukergrensesnitt, i tillegg til programmer på tvers av plattformer, som kjører på ulike programvare- og maskinvareplattformer.
Hvordan vet jeg om jeg er sårbar?
Hvis Origin-klientversjon 10.5.86 eller tidligere versjoner er installert på systemet, er det sårbart overfor dette problemet.
Hvordan kan oppdateringen løse sårbarheten?
Oppdateringen begrenser dynamisk innlasting av Origin Qt-tillegg til bestemte, forhåndsdefinerte kataloger, som bare kan redigeres av en administratorkonto.
Hvorfor forhindrer ikke begrenset tilgangsmodus denne sårbarheten?
Når en bruker aktiverer modusen for begrenset tilgang («RAM»), begrenser den ikke administrativ tilgang til Origin-filer og -kataloger. RAM begrenser ikke tilgangen til plasseringer som brukes av tredjepartskomponenter, fordi dette kan ødelegge andre programmer på spillerens systemer. Dette betyr at en angriper kan redigere eller opprette en ny Qt-tilleggskatalog, selv om RAM er aktivert.
Har dette sikkerhetsproblemet blitt brukt mot EAs kunder?
Nei. På tidspunktet for publiseringen av denne veiledningen er vi ikke kjent med noen angrep mot EAs spillere som utnytter denne sårbarheten.
Anerkjennelser
EA takker følgende sikkerhetsforskere for oppdagelsene deres og for rapporteringen til oss i samsvar med praksisene for koordinert sikkerhetsvarsling:
Publiseringsdato: 29. oktober 2020
Versjon: 1.0