Степень важности: высокая

Балл по системе CVSS: 8.4

Воздействие: изменение привилегий

Статус: исправлено

Уязвимое ПО: клиент Origin для ПК и Mac версии 10.5.55.33574 (или более ранней)

Описание

В версии клиента Origin 10.5.55.33574 и более ранних версиях для ПК и Mac существуют две уязвимости, с помощью которых пользователи без прав администратора могут изменить свои привилегии в системе. Когда пользователь повышал статус своих привилегий, он мог управлять системой и выполнять действия, которые обычно доступны лишь пользователям системы с правами администратора.

Сценарий атаки

Для того, чтобы успешно эксплуатировать уязвимость мошеннику необходимы верные данные пользователя с возможностью выполнить вход в компьютер, на котором установлен клиент Origin. После успешного входа в систему мошеннику понадобится установить специальную программу или ввести код, который меняет содержимое уязвимых директорий установки клиента Origin. После этого ему необходимо выйти из клиента Origin и перезапустить его.

Минимизация последствий

Минимизация последствий включает факторы, которые ограничивают вероятность успешной эксплуатации уязвимости мошенником.

• Для успешного проведения атаки ему потребуются верные данные учётной записи на локальном устройстве с установленным клиентом Origin.

Обходное решение

Обходные решения — это шаги, которые могут предпринять пользователи EA, чтобы сократить риск эксплуатации уязвимости мошенником, если они не хотят или не могут установить обновление клиента.

• Для того, чтобы временно сократить вероятность эксплуатации уязвимости пользователями без привилегий, системный администратор может удалить локальные права на выполнение входа или отключить учётные записи, не использующие права администратора.

Разрешение

Для устранения уязвимости игрокам с правами администратора рекомендуется установить последнюю версию клиента Origin (10.5.56.33908 или новее).

До установки новой версии Origin администратор должен включить в клиенте режим ограниченного доступа. Более подробная информация о том, как включить режим ограниченного доступа, приведена здесь.

Вопросы и ответы

Как определяется степень важности проблемы?
Степень важности проблемы определяется по 4-балльной системе — от критического уровня до низкого. Во время разбирательства в проблеме специалисты по защите информации определяют, насколько легко эксплуатировать уязвимость и что мошеннику придётся для этого сделать. Как правило, чем меньше у мошенника препятствий для эксплуатации уязвимости и чем серьёзнее будет удар по системе безопасности, тем выше у проблемы степень важности.

Что такое изменение привилегий?
Изменение привилегий — это вид уязвимости по модели безопасности STRIDE, который может использоваться для получения полноценного доступа к ресурсам, которые обычно доступны в приложении или пользователю. В результате этого приложение или пользователь обладает большим количеством привилегий, чем было задумано разработчиком приложения или системным администратором, и может выполнять такие несанкционированные действия, как изменение конфигурации операционной системы, изменение прав и возможностей пользователя и доступ к данным операционной системы.

Как появилась уязвимость?
Уязвимость происходит из-за слишком вольного управления системных файлов из директории установки клиента Origin.

Как узнать, нахожусь ли я в группе риска?
Если у вас установлена версия клиента Origin 10.5.55.33574 или старее, в нём содержится уязвимость.

Как обновление помогает избавиться от уязвимости?
С этим обновлением администраторы могут ограничить доступ и возможности пользователей, которые не являются администраторами, вносить какие-либо изменения. Более подробная информация об обновлении приведена в статьей Справки EA.

Почему режим ограниченного доступа не включен по умолчанию?
Если взять во внимание текущую архитектуру клиента Origin, ограничение доступа к системным файлам, которые используются сервисами Origin, сократит возможности пользователей, не являющихся администраторами. Мы решили позволить системным администраторам решать самим, что для них важнее: ограничение определённых функций или устранение вероятности эксплуатации уязвимости. 

Использовалась ли уязвимость против пользователей EA?
Нет. На момент публикации этих рекомендаций нам неизвестно об атаках с использованием данной уязвимости на пользователей EA.

Благодарности

Компания EA хочет поблагодарить следующих специалистов по безопасности за выявление и информировании нас об этой уязвимости в соответствии с координированным сообщениями об уязвимостях:

• Василий Кравец из AMonitoring — CVE-2019-19247 и CVE-2019-19248
• Мэтт Нелсон — CVE-2019-19248

Дата публикации: 10 декабря 2019 года

Версия: 1.0