GOG a un exploit de vulnérabilité qui a apparemment été ignoré par la filiale CD Projekt RED depuis sa première découverte. L'exploit a d'abord été archivé en tant que vulnérabilité par la National Vulnerability Database (NVD) en août 2020. Cette vulnérabilité permet une élévation des privilèges locaux de tout utilisateur authentifié vers SYSTEM.
Cet exploit permet essentiellement aux utilisateurs d'injecter des DLL dans Le client Galaxy de GOG. En termes simples, GOG peut être utilisé pour augmenter les privilèges. Ainsi, les utilisateurs peuvent acquérir un rôle administratif dans le système lui-même. Cela peut essentiellement ouvrir la voie aux pirates informatiques pour accéder aux attaques de la chaîne d'approvisionnement sur différents systèmes.
Comme le dit l'entrée de la base de données NVD :
Le client (alias GalaxyClientService.exe) dans GOG GALAXY jusqu'à la version 2.0.41 (à partir de 12h58 heure de l'Est, le 9/26/21) permet l'élévation des privilèges locaux de tout utilisateur authentifié vers SYSTEM en demandant au service Windows d'exécuter des commandes arbitraires. Cela se produit parce que l'attaquant peut injecter une DLL dans GalaxyClient.exe, déjouant ainsi le mécanisme de protection du « client de confiance » basé sur TCP.
Inutile de dire que n'importe quel profil d'utilisateur peut se donner des privilèges administratifs via GOG Galaxy, puis accéder à chaque ordinateur sur lequel le client GOG est installé. L'exploit a été initialement découvert par le pirate informatique et fondateur de Positron Security, Joseph Testa. Cependant, cela s'est produit en janvier 2020.
GOG a réagi en publiant une mise à jour qui résoudrait ce problème. Cependant, il a été constaté que cela mettait simplement à jour la clé de signature utilisée pour vérifier les messages. Cette clé a été récupérée et la preuve de concept a été mise à jour avec. Alors oui, l'exploit fonctionne toujours, sans modification, et a été signalé comme une vulnérabilité de 0 jour dans le client Galaxy de GOG.
Joseph Teste a publié une analyse complète qui a détaillé certaines de ses conversations avec le support GOG. Cette conversation a commencé le 4 juin 2020, et l'intégralité du fil peut être lu dans le lien ci-dessus.
L'assistance de GOG.com a répondu :
"J'ai été informé que nos développeurs travaillaient à la résolution du problème, mais l'exécution de l'attaque nécessite que la machine soit déjà compromise."
Parce que cela semblait comme si GOG ne prenait pas le problème au sérieux, j'ai répondu par :
« Il est en effet vrai qu'un attaquant doit déjà disposer d'un accès à faible privilège à la machine. Mais le problème est que cela peut être transformé en droits d'administrateur en abusant du logiciel GalaxyClientService. […] L'élévation des privilèges locaux (LPE) est une vulnérabilité sérieuse.
Les clients GOG peuvent installer des logiciels/jeux provenant d'autres sources non fiables sans droits d'administrateur, ce qui les protégerait normalement d'une compromission totale du système. Malheureusement, en raison des vulnérabilités que j'ai découvertes dans GalaxyClientService, TOUTE les comptes d'utilisateurs sont effectivement des administrateurs.
Peu de temps après, GOG a dit à Joseph que ses développeurs avaient besoin de trois mois pour créer une solution. Bien sûr, puisque l'Avis est actuellement en ligne, cela signifie que ce correctif n'a pas été fourni après le délai de 3 mois. En fait, pas plus tard qu'en septembre 2021, il a été confirmé que l'exploit GOG Galaxy 2.0 continue de fonctionner.
En d'autres termes, tout utilisateur qui installe Galaxy 2.0 courra le risque qu'un attaquant obtienne un accès administrateur. Comme l'affiche du fil Reddit qui a découvert que l'exploit fonctionne toujours le dit :
Ma principale préoccupation est que les gens supposent que, comme le délai de 3 mois a été dépassé depuis si longtemps, les développeurs ont proposé un correctif, qu'il a été corrigé. Enfer, pourquoi une équipe de développement ne sauraient réparer quelque chose comme ça dans leur logiciel? Dommage que ce ne soit pas le cas et que votre système soit toujours vulnérable si vous avez installé GOG Galaxy 2.0.
Lorsque WCcftech a contacté GOG plus tôt cette semaine pour commenter cette situation, ils ont répondu par la déclaration suivante :
Nous sommes conscients du problème de sécurité dans GOG GALAXY et nous confirmons que les travaux sur le correctif sont en cours. Cela s'est avéré être une question très complexe et nécessite des modifications apportées à la conception du client lui-même. Comme toujours, nous informerons les utilisateurs du correctif dans le journal des modifications de GOG GALAXY une fois le correctif déployé. De plus, nous voulons rassurer tout le monde que les sujets de sécurité sont importants pour nous et nous les prenons tous au sérieux.
Dans sa forme actuelle, le preuve de concept L'exploit décrit par Joseph Testa ne fait que planter le client Galaxy. En tant que tel, on peut facilement en déduire qu'il pourrait s'agir d'une mesure temporaire prise par le CDPR pour empêcher toute attaque de se produire pendant qu'il travaille à la résolution de ce problème. Bien sûr, cela pourrait également signifier que l'exploit ne fonctionne plus avec la preuve de concept obsolète et peut être consulté par des attaquants malveillants avec un processus plus raffiné.
Vous pouvez regarder une chronologie complète des événements qui décrit la gravité de l'exploit ci-dessous dans la vidéo YouTube liée ci-dessous.
Pour l'instant, il est préférable de faire attention au programme GOG Galaxy, et il est fortement conseillé de garder un œil sur les programmes installés via le service.
Le poste GOG a eu un grave problème de vulnérabilité interne pendant près de 2 ans ; GOG : C'est une question très complexe, mais les travaux sur le correctif sont en cours by Ulé Lopez apparaît en premier sur Wccftech.
