TECH HÍREK – A CD Projekt digitális boltjának kliense, a GOG Galaxy hosszú ideig egy komoly biztonsági réssel rendelkezett!

Az NVD, magyarul kb. a nemzeti sebezhetőségi adatbázis tavaly augusztusban archiválta a sebezhetőséget, ami révén bármelyik felhasználó System, azaz rendszerszintű hozzáférést kaphat. A felhasználó a GOG Galaxy kliensébe DLL-eket injektálhat, és így akár admin is lehet a felületen, így további támadásoknak képes megágyazni, hiszen mindegyik „galaxisos” PC-t el tud érni így!

Az NVD hivatalos jellemzése kb. így hangzik: „A kliens (más néven GalaxyClientService.exe) a GOG GALAXY-ban a 2.0.41-es verzióig (2021. szeptember 26-án, magyar idő szerint 6:58-kor) lehetővé teszi a helyi jogosultságok kiterjesztését bármely hitelesített felhasználóról a SYSTEM-re azáltal, hogy utasítja a Windows szolgáltatást tetszőleges parancsok végrehajtására. Ez azért következik be, mert a támadó be tud juttatni egy DLL-t a GalaxyClient.exe fájlba, ezzel megkerülve a TCP-alapú „megbízható ügyfél” védelmi mechanizmust.”

A bizonsági rést először Joseph Testa, a Positron Security alapítója, egy etikus hacker fedezte fel… 2020 januárjában. Majdnem két éve! Erre a GOG úgy reagált egy közleményben, hogy egy frissítéssel megoldja ezt… ami csak az üzeneteket hitelesítő aláíró kulcsot módosította, és ugyanúgy aktív a rés, ahogy eddig is. A GOG Galaxy kliensében 0-day (nagy prioritású, új) sebezhetőségként jelentve is lett. Testa egy részletes elemzést is közölt, amiben a GOG vevőszolgálatával való kommunikációját is közölte.

A GOG azt mondta neki, hogy a fejlesztők dolgoznak a hiba elhárításán, de a támadás kivitelezéséhez szerintük az is kell, hogy a gép már „lefoglalt” legyen. Testa szerint a lengyelek nem vették őt komolyan, így azt válaszolta, hogy igaz, a támadónak alacsony privilégiumú hozzáféréssel valóban rendelkeznie kell, de ezt admin jogokig lehet emelni a kliensben, és az LPE (helyi privilégiumemelés) súlyos sebezhetőségként kezelendő. Admin jog nélkül más, meg nem bízható forrásokból tudnak a GOG-fogyasztók appokat, játékokat telepíteni, ami általában a teljes rendszerelfoglalástól megvédi őket, de a Galaxy kliensében levő sebezhetőségek révén minden felhasználói fiók lényegében adminisztrátornak tekinthető.

Ezek után a GOG három hónapot kért Testától a megoldásra, ami ugye nem készült el, holott többször is meg lehetett volna csinálni 2020 eleje óta. A Redditen olvasható topic szerint sokan úgy hihetik, hogy a három hónapos ígéret óta biztosan ki lett javítva a sebezhetőség, majd feltette a kérdést, hogy ez végül miért is nem történt meg? Ebből adódóan a PC-nk veszélyben van, ha a GOG Galaxy 2.0 telepítve van rajta. A WCCFTechnek a GOG pedig ezt a közleményt írta: „Tisztában vagyunk a GOG GALAXY biztonsági problémájával, és megerősíthetjük, hogy a javításon jelenleg is dolgozunk. Kiderült, hogy nagyon összetett dologról van szó, és magának a kliensnek a dizájnjához köthető változtatásokat is igényel. Mint mindig, a javításról a felhasználókat a GOG GALAXY changelogjában fogjuk tájékoztatni, amint a javítást közzétesszük. Továbbá mindenkit szeretnénk megnyugtatni, hogy a biztonsági témák fontosak számunkra, és mindegyiket komolyan vesszük.”

Annyira azért mégsem, ha két év után is ott van. Testa a Githubon közzé is tett egy koncepciót a sebezhetőségről, persze visszavágva: csak annyit érhetünk el vele, hogy a kliens kiakad és elszáll. Ettől függetlenül úgy tűnik, hogy a CD Projekt a tavalyi Cyberpunk-fiaskó után idén sem zár magas hangon…

Forrás: WCCFTech