GOG hat in kwetsberens-eksploitaasje dy't blykber is negearre troch de dochterûndernimming CD Projekt RED sûnt it earst waard sjoen. De eksploitaasje waard earst argivearre as in kwetsberens troch de National Vulnerability Database (NVD) yn augustus 2020. Dizze kwetsberens makket it mooglik om lokale privileezjes te eskalearjen fan elke autentike brûker nei SYSTEM.
Dizze eksploitaasje lit brûkers yn essinsje DLL's yn ynjeksje GOG's Galaxy-kliïnt. Simply set, GOG kin brûkt wurde om privileezjes te eskalearjen. Sa kinne brûkers in bestjoerlike rol krije yn it systeem sels. Dit kin yn essinsje de manier iepenje foar hackers om tagong te krijen ta oanfalsketen oanfallen op ferskate systemen.
As de yngong fan 'e NVD-database it stelt:
De kliïnt (aka GalaxyClientService.exe) yn GOG GALAXY fia 2.0.41 (fanôf 12:58 AM Eastern, 9/26/21) lit lokale privileezje-eskalaasje fan elke autentike brûker nei SYSTEM tastean troch de Windows-tsjinst te ynstruearjen om willekeurige kommando's út te fieren. Dit bart om't de oanfaller in DLL kin ynjeksje yn GalaxyClient.exe, en it TCP-basearre "fertroude kliïnt" beskermingsmeganisme ferslaan.
Unmooglik te sizzen kin elk brûkersprofyl himsels bestjoerlike privileezjes jaan fia GOG Galaxy en dan tagong krije ta elke kompjûter wêr't de GOG Client ynstalleare is. De eksploitaasje waard oarspronklik ûntdutsen troch white hat hacker en Positron Security oprjochter Joseph Testa. Dat barde lykwols yn jannewaris 2020.
GOG reagearre troch in update frij te litten dy't dit probleem soe reparearje. It waard lykwols fûn dat dit gewoan de ûndertekeningskaai bywurke dy't brûkt waard foar it ferifiearjen fan berjochten. Dizze kaai is weromfûn en it proof-of-concept is dêrmei bywurke. Dat ja, de eksploitaasje wurket noch, net wizige, en is rapportearre as in 0-dagen kwetsberens yn GOG's Galaxy-client.
Joseph Testa pleatste in wiidweidige analyze dat detaillearre guon fan syn petearen mei GOG Support. Dit petear begon op 4 juny 2020, en de heule thread is te lêzen yn 'e keppeling hjirboppe.
GOG.com Support antwurde mei:
"Ik waard ynformearre dat ús ûntwikkelders wurkje oan it reparearjen fan it probleem, mar it útfieren fan 'e oanfal fereasket dat de masine al kompromittearre is."
Om't dit klonk as GOG it probleem net serieus naam, antwurde ik mei:
"It is yndie wier dat in oanfaller al lege privileezje tagong ta de masine moat hawwe. Mar it probleem is dat dit kin wurde eskalearre yn behearderrjochten troch misbrûk fan de GalaxyClientService-software. […] Lokale privileezje-eskalaasje (LPE) is in serieuze kwetsberens.
GOG-klanten kinne software / spultsjes ynstallearje fan oare net-fertroude boarnen sûnder behearderrjochten, dy't se normaal beskermje tsjin folslein systeemkompromis. Spitigernôch, fanwege de kwetsberens dy't ik haw ûntdutsen yn GalaxyClientService, allegearre brûkersaccounts binne effektyf behearders."
Koart dêrnei fertelde GOG Joseph dat har ûntwikkelders trije moannen nedich wiene om in oplossing te meitsjen. Fansels, om't it Advisory op it stuit online is, betsjut dat dat dizze fix net waard levere nei't de tiid fan 3 moannen ferrûn. Yn feite, sa koartlyn as septimber 2021, is it befêstige dat de GOG Galaxy 2.0-exploitaasje trochgiet te wurkjen.
Mei oare wurden, elke brûker dy't Galaxy 2.0 ynstalleart, sil it risiko hawwe dat in oanfaller behearder tagong krijt. As de poster fan 'e Reddit-thread dy't ûntdutsen dat de eksploitaasje noch wurket, stelt it:
Myn grutte soarch is dat minsken oannimme dat, om't it sa lang foarby de 3-moanne tiidline west hat, de ûntwikkelders foarstelden foar in fix, dat it is reparearre. Hel, wêrom soe in ûntwikkeling team net reparearje soksawat yn har software? Jammer dat dit net it gefal is, en jo systeem is noch kwetsber as jo GOG Galaxy 2.0 ynstalleare hawwe.
Doe't Wccftech earder dizze wike GOG berikte foar kommentaar oer dizze situaasje, antwurden se mei de folgjende ferklearring:
Wy binne bewust fan it befeiligingsprobleem yn GOG GALAXY en wy befêstigje dat de wurksumheden oan 'e reparaasje trochgean. It die bliken in heul komplekse saak te wêzen en feroaringen nedich oan it ûntwerp fan 'e kliïnt sels. Lykas altyd sille wy brûkers ynformearje oer de fix yn 'e GOG GALAXY changelog as ienris de patch is ynset. Fierder wolle wy elkenien gerêststelle dat feiligensûnderwerpen foar ús wichtich binne en wy nimme se allegear serieus.
Yn syn hjoeddeiske foarm, de bewiis fan konsept eksploitaasje sketst troch Joseph Testa feroarsaket allinich de Galaxy-kliïnt te crashen. As sadanich kin it maklik wurde ôfliede dat dit in tydlike maatregel kin wêze makke troch CDPR om foar te kommen dat oanfallen barre wylst se wurkje oan it oplossen fan dit probleem. Fansels kin dit ek betsjutte dat de eksploitaasje net mear wurket mei it ferâldere proof of concept en kin tagonklik wurde troch kweade oanfallers mei in mear ferfine proses.
Jo kinne in wiidweidige tiidline fan eveneminten besjen dy't de earnst fan 'e eksploitaasje hjirûnder beskriuwt yn' e YouTube-fideo keppele hjirûnder.
Foar no is it it bêste om foarsichtich te wêzen oer it GOG Galaxy-programma, en it wurdt sterk advisearre om in each te hâlden op hokker programma's wurde ynstalleare troch de tsjinst.
De post GOG hat al hast 2 jier in swier ynterne kwetsberensprobleem hân; GOG: It is in heul komplekse saak, mar wurken oan 'e reparaasje binne trochgean by Ule Lopez ferskynde earst op Wccftech.
