Éveken át súlyos belső sebezhetőség volt a GOG Galaxy-ban! [VIDEO]

TECH HÍREK – A CD Projekt digitális boltjának kliense, a GOG Galaxy hosszú ideig egy komoly biztonsági réssel rendelkezett!

 

Az NVD, magyarul kb. a nemzeti sebezhetőségi adatbázis tavaly augusztusban archiválta a sebezhetőséget, ami révén bármelyik felhasználó System, azaz rendszerszintű hozzáférést kaphat. A felhasználó a GOG Galaxy kliensébe DLL-eket injektálhat, és így akár admin is lehet a felületen, így további támadásoknak képes megágyazni, hiszen mindegyik „galaxisos” PC-t el tud érni így!

Az NVD hivatalos jellemzése kb. így hangzik: „A kliens (más néven GalaxyClientService.exe) a GOG GALAXY-ban a 2.0.41-es verzióig (2021. szeptember 26-án, magyar idő szerint 6:58-kor) lehetővé teszi a helyi jogosultságok kiterjesztését bármely hitelesített felhasználóról a SYSTEM-re azáltal, hogy utasítja a Windows szolgáltatást tetszőleges parancsok végrehajtására. Ez azért következik be, mert a támadó be tud juttatni egy DLL-t a GalaxyClient.exe fájlba, ezzel megkerülve a TCP-alapú „megbízható ügyfél” védelmi mechanizmust.”

A bizonsági rést először Joseph Testa, a Positron Security alapítója, egy etikus hacker fedezte fel… 2020 januárjában. Majdnem két éve! Erre a GOG úgy reagált egy közleményben, hogy egy frissítéssel megoldja ezt… ami csak az üzeneteket hitelesítő aláíró kulcsot módosította, és ugyanúgy aktív a rés, ahogy eddig is. A GOG Galaxy kliensében 0-day (nagy prioritású, új) sebezhetőségként jelentve is lett. Testa egy részletes elemzést is közölt, amiben a GOG vevőszolgálatával való kommunikációját is közölte.

A GOG azt mondta neki, hogy a fejlesztők dolgoznak a hiba elhárításán, de a támadás kivitelezéséhez szerintük az is kell, hogy a gép már „lefoglalt” legyen. Testa szerint a lengyelek nem vették őt komolyan, így azt válaszolta, hogy igaz, a támadónak alacsony privilégiumú hozzáféréssel valóban rendelkeznie kell, de ezt admin jogokig lehet emelni a kliensben, és az LPE (helyi privilégiumemelés) súlyos sebezhetőségként kezelendő. Admin jog nélkül más, meg nem bízható forrásokból tudnak a GOG-fogyasztók appokat, játékokat telepíteni, ami általában a teljes rendszerelfoglalástól megvédi őket, de a Galaxy kliensében levő sebezhetőségek révén minden felhasználói fiók lényegében adminisztrátornak tekinthető.

Ezek után a GOG három hónapot kért Testától a megoldásra, ami ugye nem készült el, holott többször is meg lehetett volna csinálni 2020 eleje óta. A Redditen olvasható topic szerint sokan úgy hihetik, hogy a három hónapos ígéret óta biztosan ki lett javítva a sebezhetőség, majd feltette a kérdést, hogy ez végül miért is nem történt meg? Ebből adódóan a PC-nk veszélyben van, ha a GOG Galaxy 2.0 telepítve van rajta. A WCCFTechnek a GOG pedig ezt a közleményt írta: „Tisztában vagyunk a GOG GALAXY biztonsági problémájával, és megerősíthetjük, hogy a javításon jelenleg is dolgozunk. Kiderült, hogy nagyon összetett dologról van szó, és magának a kliensnek a dizájnjához köthető változtatásokat is igényel. Mint mindig, a javításról a felhasználókat a GOG GALAXY changelogjában fogjuk tájékoztatni, amint a javítást közzétesszük. Továbbá mindenkit szeretnénk megnyugtatni, hogy a biztonsági témák fontosak számunkra, és mindegyiket komolyan vesszük.”

Annyira azért mégsem, ha két év után is ott van. Testa a Githubon közzé is tett egy koncepciót a sebezhetőségről, persze visszavágva: csak annyit érhetünk el vele, hogy a kliens kiakad és elszáll. Ettől függetlenül úgy tűnik, hogy a CD Projekt a tavalyi Cyberpunk-fiaskó után idén sem zár magas hangon…

Forrás: WCCFTech

Spread the love
Avatar photo
Anikó, our news editor and communication manager, is more interested in the business side of the gaming industry. She worked at banks, and she has a vast knowledge of business life. Still, she likes puzzle and story-oriented games, like Sherlock Holmes: Crimes & Punishments, which is her favourite title. She also played The Sims 3, but after accidentally killing a whole sim family, swore not to play it again. (For our office address, email and phone number check out our IMPRESSUM)

Kiemelt partnerünk: www.konzolkirály.hu