Автор: Эдриен Стоун, директор, отдел безопасности продукции EA
10 декабря 2019 года
Сегодня вышла новая версия клиента Origin, в которой устранена выявленная ранее уязвимость в системе безопасности. В определённых условиях из-за данной уязвимости зарегистрированный пользователь с ограниченным функционалом мог получить полноценный доступ ко всем компьютерам, на которых был установлен клиент Origin.
Обновление клиента Origin уже вышло, но вы можете загрузить его по прямой ссылке здесь. Во время нашего разбирательства в произошедшем и работы над обновлением мы не нашли доказательств того, что кто-то эксплуатировал уязвимость.
Мы получили сообщение об ошибке благодаря нашей программе сообщения об уязвимости наших продуктов. Хотим поблагодарить Василия Кравеца из AMonitoring и Мэтта Нелсона за тесное сотрудничества во время разбирательства и работы над исправлением в соответствии с координированными сообщениями об уязвимостях.
Мы опубликовали рекомендации по безопасности с более подробной информацией об уязвимости, а также справочную статью с полным описанием обновления.
Это очень специфическая проблема, которую мы заметили и в других областях игровой индустрии. Именно поэтому мы решили рассказать вам о том, как она зародилась.
Большинство наших игроков на ПК в Origin собрали себе мощные игровые компьютеры или используют первоклассные игровые ноутбуки, поэтому клиент Origin разрабатывался с мыслью о том, что все пользователи будут использовать мощные машины и захотят контролировать все процессы своей системы. Но с тех пор индустрия заметно изменилась. Всё больше людей, включая некоторых игроков, используют свой компьютер в качестве стандартного пользователя с ограниченным функционалом. А некоторые из них создают учётные записи, которые они планируют использовать совместно с другими пользователями с ограниченным функционалом. В наших кругах эта практика называется «минимум привилегий» и помогает сократить потенциальное воздействие на систему безопасности, если что-то произойдёт. Поставщики операционных систем недавно начали осознавать происходящие перемены и вносить изменения в свои продукты, чтобы всё это было учтено.
Если бы злоумышленник попробовал эксплуатировать данную уязвимость, ему бы потребовалось выполнить вход в компьютер под обычной учётной записью. Ему также потребовалось бы установить специальную программу или ввести код, который частично меняет программное обеспечение, чтобы получить полноценный доступ.
Большинство нынешних пользователей Origin использует клиент исключительно от лица администратора и имеют всего одну учётную запись на своей системе (количество пользователей, которые пользуются клиентом без прав администратора, составляет менее 5% от всей базы пользователей Origin). Благодаря этому уязвимость нельзя эксплуатировать под учётными записями большинства пользователей, поскольку это ни к чему не приведёт.
Данная проблема могла бы оказаться серьёзной для малой части игроков с установленным клиентом Origin, но нам чрезвычайно важна безопасность каждого пользователя, поэтому мы рады сообщить, что устранили данную проблему в сегодняшнем обновлении и внедрили режим ограниченного доступа. Мы также намерены совершенствовать наш подход к принципу минимума привилегий в Origin и режиме ограниченного доступа на основе будущих отзывов. Плодотворное сотрудничество между специалистами по безопасности и издателями игр помогут повысить планку безопасности для всех.