Door Adrian Stone, Sr. Director, EA Product Security
10 december 2019
Vandaag is er een bijgewerkte versie van de Origin-client uitgebracht om een eerder ontdekt beveiligingsprobleem op te lossen. Onder specifieke omstandigheden kon de kwetsbaarheid een geldige gebruiker met beperkte machtigingen in staat stellen om verhoogde toegang te verkrijgen op computers waarop Origin is geïnstalleerd.
De update is al live binnen de Origin-client en kan hier tevens direct worden gedownload. Tijdens ons onderzoek en de ontwikkeling van de update hebben we niks gevonden dat erop wijst dat deze beveiligingslek is misbruikt.
Dit werd oorspronkelijk aan ons gemeld via ons Product Security Vulnerability Submission-programma. We willen Vasili Kravetz van AMonitoring en Matt Nelson allebei bedanken voor de nauwe samenwerking tijdens het onderzoek, en voor de ontwikkeling van de oplossing in overeenstemming met de Coordinated Vulnerability Disclosure-richtlijnen.
We hebben een Beveiligingsadvies met aanvullende informatie over de kwetsbaarheid en een Help-artikel dat de update in meer detail beschrijft gepubliceerd.
Dit is een heel specifiek probleem, en we hebben gezien hoe dit probleem invloed heeft gehad op andere delen van de games-industrie. Daarom vonden we het de moeite waard om wat extra achtergrondinformatie te geven over hoe het probleem tot stand is gekomen.
Veel van onze pc-spelers op Origin bouwen zelf gaming-pc's of maken gebruik van high-end gaming-laptops. Daarom hebben we de Origin-client gebouwd met het idee dat alle gebruikers ten alle tijden volledige controle als administrator over hun systeem willen behouden. Sindsdien is de industriestandaard begonnen te verschuiven. Meer mensen, waaronder sommige spelers, gebruiken hun computer als "beperkte" standaardgebruikers. En een aantal gebruikers delen een systeem met meer dan één persoon en maken hiervoor beperkte accounts voor andere gebruikers. Deze praktijk wordt in beveiligingskringen "least privilege" genoemd, en het helpt om de impact van mogelijke beveiligingsproblemen te beperken indien ze zouden ontstaan. Verkopers van besturingssystemen zijn onlangs begonnen deze verschuiving te herkennen en hebben wijzigingen aangebracht in hun besturingssystemen om het veranderende landschap in acht te nemen.
Om misbruik te maken van dit beveiligingslek, zouden aanvallers zich op de computer moeten aanmelden met een geldig account zonder beheerderstoegang. Vervolgens zouden ze een speciaal ontworpen programma moeten installeren, of code moeten uitvoeren, die een deel van de software wijzigt om een verhoogd toegangsniveau te krijgen.
De overgrote meerderheid van onze huidige gebruikers op Origin hebben al beheerderstoegang en beschikken over de enige gebruikersaccount op de computer (het aantal gebruikers zonder beheerderstoegang is minder dan 5% van onze totale gebruikersbasis op Origin). Dit maakt het voor de meeste gebruikers onwaarschijnlijk dat dit beveiligingslek wordt uitgebuit, omdat het niet zou leiden tot verdere toegang of privileges.
Hoewel het probleem alleen aanwezig was voor een klein aantal spelers met de geïnstalleerde Origin-client, is de veiligheid en beveiliging van elke gebruiker erg belangrijk voor ons. Daarom zijn we blij dat we dit probleem met de update van vandaag hebben aangepakt door beperkte toegangsmodus te introduceren. We zijn ook toegewijd aan het verbeteren van onze benadering van principes van de "least privilege" voor Origin en beperkte toegangsmodus in toekomstige versies, op basis van de inzichten die we hebben opgedaan. Positieve interacties zoals deze tussen de community van beveiligingsonderzoekers en publishers van games verhogen het beveiligingsniveau voor iedereen.