Vulnerabilidade de elevação de privilégio no Cliente Origin
EASEC-2019-001
Gravidade: Importante
Pontuação: 8.4
Impacto: Elevação de privilégio
Status: Corrigida
Software afetado: Origin para Mac e PC versão 10.5.55.33574 (ou anterior)
Descrição
Existem duas vulnerabilidades no serviço do Cliente Origin para PC e Mac versões 10.5.55.33574 e anteriores que poderiam permitir que um usuário não administrativo elevasse seu acesso ao sistema. Assim que o usuário obtiver acesso elevado, ele pode ser capaz de assumir o controle do sistema e executar ações que eram reservadas a usuários com privilégio alto ou administradores de sistema.
Cenário de ataque
Para fazer uso efetivo da vulnerabilidade, o invasor precisa ter as credenciais de usuário válidas com a capacidade de fazer o login no computador com o cliente Origin instalado. Depois de fazer login com sucesso, o invasor então precisaria ter a capacidade de instalar um programa especialmente projetado ou executar um código que modifique o conteúdo dos diretórios de instalação do Origin afetados. Depois, ele precisaria fechar e reiniciar o Cliente Origin.
Atenuações
As atenuações descrevem fatores que limitam a probabilidade ou impacto de um invasor fazer uso efetivo da vulnerabilidade.
- Um ataque bem-sucedido exigiria do usuário de uma conta válida na máquina local com o cliente Origin instalado.
Solução alternativa
As soluções alternativas são medidas que os clientes da EA podem tomar para reduzir o potencial de um invasor fazer uso da vulnerabilidade se não for possível ou se optarem por não instalar a atualização.
- Para limitar temporariamente a probabilidade de que a vulnerabilidade seja executada por usuários não privilegiados, o administrador do sistema pode escolher remover os direitos de login local ou desativar contas que não sejam do administrador.
Resolução
Para abordar a vulnerabilidade, recomendamos àqueles com direitos de administrador que instalem a versão mais recente do Cliente Origin versão 10.5.56.33908 (ou posterior).
Ao instalar a versão atualizada do cliente Origin, o administrador deve habilitar o "modo Acesso Restrito" dentro do Cliente Origin. As informações adicionais sobre como ativar o "modo Acesso Restrito" podem ser encontradas aqui.
Perguntas frequentes:
Como a gravidade do problema é determinada?
A severidade do problema é baseada em uma escala de 4 pontos que varia de crítica a baixa. Como parte da nossa investigação, os engenheiros de segurança determinam a facilidade geral de exploração e como um invasor precisaria explorar a vulnerabilidade com sucesso. Normalmente, quanto menos obstáculos existirem para a exploração, em combinação com um maior impacto de segurança, mais alta será a gravidade do problema.
O que é uma elevação de privilégio?
A elevação de privilégio é um tipo de classificação de vulnerabilidade de acordo com o modelo de segurança STRIDE que pode ser utilizada para obter acesso elevado a recursos normalmente provenientes do aplicativo ou usuário. O resultado é que o aplicativo ou usuário tem mais privilégios do que o planejado pelo desenvolvedor ou administrador do sistema e o invasor poderia então executar ações não autorizadas, como alterar a configuração do sistema operacional, alterar os direitos e permissões do usuário ou acessar dados do sistema operacional.
O que causa a vulnerabilidade?
A vulnerabilidade é causada por ACLs excessivamente permissivas nos arquivos de sistema usados pelo Cliente Origin no seu diretório de instalação.
Como saber se estou vulnerável
Se a versão do cliente Origin 10.5.55.33574 ou anterior estiver instalada, o sistema estará vulnerável a esse problema.
Como a atualização resolve a vulnerabilidade?
A atualização corrige a vulnerabilidade ao permitir que usuários administradores limitem o acesso e a capacidade de usuários não administrativos de realizarem modificações. Para mais informações sobre a atualização, consulte o seguinte artigo da Ajuda EA.
Por que o "modo Acesso Restrito" não é habilitado por padrão?
Com base na arquitetura atual do cliente Origin, restringir o acesso aos arquivos de sistema usados pelos serviços Origin limita o uso de alguns recursos para usuários não administrativos. Decidimos permitir que os administradores de sistema ponderem a opção de restringir esses recursos contra a probabilidade da vulnerabilidade ser utilizada com base em suas próprias implantações.
Essa vulnerabilidade foi utilizada contra os clientes da EA?
Não. No momento da publicação deste aviso, não estamos cientes de nenhum ataque que faça uso dessa vulnerabilidade contra clientes da EA.
Reconhecimento(s)
A EA agradece aos seguintes pesquisadores de segurança por sua descoberta e por relatá-la para nós de acordo com as práticas da Divulgação de Vulnerabilidade Coordenada:
- Vasily Kravetz da AMonitoring por relatar o CVE-2019-19247 e CVE-2019-19248
- Matt Nelson por relatar o CVE-2019-19248
Data de publicação: 10/12/2019
Versão: 1.0