EA Play FIFA 23 F1™ 22 Madden NFL 23 Apex Legends Battlefield™ 2042 The Sims 4 Electronic Arts – Domovská stránka Electronics Arts Home Nejnovější hry Již brzy Bezplatné hry (F2P) EA SPORTS EA Originals Knihovna her Speciální nabídky v EA app PC PlayStation Xbox Nintendo Switch Mobilní zařízení Pogo EA app EA Play Hraní na soutěžní úrovni Playtesting – Testování her Společnost Kariéra Novinky Technologie Studia EA EA Partners Naše závazky Pozitivní hraní Začleňování a diverzita Sociální dopad Lidé a kultura Prostředí Nápověda Fórum Hráčské a rodičovské nástroje Přístupnost Tisk Investoři Nejnovější hry Již brzy Bezplatné hry (F2P) EA SPORTS EA Originals Knihovna her Speciální nabídky v EA app PC PlayStation Xbox Nintendo Switch Mobilní zařízení Pogo EA app EA Play Hraní na soutěžní úrovni Playtesting – Testování her Společnost Kariéra Novinky Technologie Studia EA EA Partners Naše závazky Pozitivní hraní Začleňování a diverzita Sociální dopad Lidé a kultura Prostředí Nápověda Fórum Hráčské a rodičovské nástroje Přístupnost Tisk Investoři

Chyby v zabezpečení klienta Originu umožňující zvýšení úrovně oprávnění

EASEC-2019-001

Závažnost: Důležitá

CVSS skóre: 8,4

Dopad: Zvýšení úrovně oprávnění

Stav: Opraveno

Ovlivněný software: Origin pro Mac a PC verze 10.5.55.33574 (nebo starší)

Popis

V klientovi služby Origin verze 10.5.55.33574 a starší pro PC a Mac existují dvě slabá místa potenciálně umožňující uživatelům bez administrátorského oprávnění zvyšovat jejich úroveň přístupu k systému. Jakmile uživatel získá zvýšený přístup, může potenciálně převzít kontrolu nad systémem a provádět akce, které jsou jinak vyhrazeny pro vysoce privilegované uživatele nebo správce systému.

Útočný scénář

K úspěšnému zneužití této chyby potřebuje mít útočník platné přihlašovací údaje se schopností přihlásit se na počítač s nainstalovaným klientem služby Origin. Po úspěšném přihlášení by pak musel nainstalovat speciálně vytvořený program nebo spustit kód, s jehož pomocí by upravil obsah příslušných instalačních adresářů Originu. V poslední fázi by bylo nutné restartovat klienta Originu.

Omezení rizika

Omezení rizika popisuje faktory snižující pravděpodobnost či dopad útočníka ohledně úspěšného zneužití této chyby v zabezpečení.

  • Úspěšný útok by vyžadoval od uživatele platný účet na lokálním počítači s nainstalovaným klientem Origin.

Řešení

Zástupná řešení jsou kroky, které mohou zákazníci EA provést za účelem ztížit útočníkovi možnost zneužití této chyby, pakliže nemohou / nerozhodnou se nainstalovat aktualizaci.

  • Kvůli dočasnému omezení pravděpodobnosti zneužití zranitelnosti ze strany neoprávněných uživatelů se může správce systému rozhodnout odebrat místní přihlašovací práva nebo zakázat neadministrátorské účty.

Usnesení

Hráčům s administrátorskými právy se doporučuje nainstalovat nejnovější verzi klienta Origin verze 10.5.56.33908 (nebo vyšší).

Po nainstalování aktualizované verze musí správce v klientovi služby Origin aktivovat „Restricted User Mode“ (Omezený uživatelský režim). Další podrobnosti o tom, jak povolit „Omezený uživatelský režim“, najdete zde.

Často kladené dotazy:

Jak se určuje závažnost problému?
Závažnost problému se určuje podle čtyřstupňové klasifikace od kritické po nízkou. Součástí našeho šetření je stanovení celkové snadnosti zneužití chyby a postupu k úspěšnému zneužití chyby ze strany útočníka. Obecně platí, že čím méně překážek na cestě ke zneužití v kombinaci s vyšším dopadem na bezpečnost, tím vyšší bude stanovená závažnost problému.

Co je to zvýšení úrovně oprávnění/privilegia?
Zvýšení úrovně oprávnění je typem zranitelnosti dle bezpečnostního modelu STRIDE, jenž lze využít k získání zvýšeného přístupu k prostředkům, které obvykle náleží aplikaci nebo uživateli. Výsledkem je, že aplikace nebo uživatel má víc privilegií, než je zamýšleno vývojářem aplikace nebo správcem systému, takže pak lze provádět neautorizované akce, jako je změna konfigurace operačního systému, změna uživatelských práv a oprávnění nebo přístup k datům v operačním systému.

Co způsobuje zranitelnost?
Chyba zabezpečení je způsobena až příliš benevolentními seznamy pro řízení přístupu (ACL) u systémových souborů, které klient Origin využívá v rámci svého instalačního adresáře.

Jak se dozvím, že jsem ohrožen?
Pokud je v systému nainstalovaný klient Origin verze 10.5.55.33574 nebo dřívější, je touto chybou ohrožen.

Jak aktualizace tuto chybu řeší?
Tato aktualizace řeší chybu zabezpečení tak, že umožňuje uživatelům s administrátorskými oprávněními omezit přístup a možnosti neadministrátorských uživatelů provádět úpravy. Další informace o aktualizaci najdete v následujícím článku EA Nápovědy.

Proč není „omezený uživatelský režim“ povolen ve výchozím nastavení?
V závislosti na aktuální architektuře klienta Origin by mělo omezení přístupu k systémovým souborům využívaným službami Origin negativní dopad na používání některých funkcí u uživatelů, kteří nemají administrátorská práva. Rozhodli jsme se, že necháme na zvážení správců systému, do jaké míry chtějí omezit tyto funkce s ohledem na pravděpodobnost zranitelnosti a v závislosti na jejich vlastním nasazeném softwaru. 

Byla tato chyba zabezpečení využita proti zákazníkům společnosti EA?
Ne. V době zveřejnění tohoto upozornění si nejsme vědomi žádných útoků proti hráčům EA, které by zneužívaly tuto chybu.

Poděkování

EA děkuje těmto výzkumným pracovníkům za odhalení chyby a její nahlášení v souladu s postupy v rámci Koordinovaného zveřejňování informací o zranitelnosti produktů:

Datum zveřejnění: 3. prosince 2019

Verze: 1.0

Související aktuality

EASEC-2020-002 – Zvýšení úrovně oprávnění

Electronic Arts Inc.
29.10.2020

EASEC-2020-003 – Chyba zabezpečení skriptování mezi weby v klientovi Origin…

Electronic Arts Inc.
29.10.2020