GOG mempunyai eksploitasi kelemahan yang seolah-olah diabaikan oleh anak syarikat CD Projekt RED sejak ia pertama kali dilihat. Eksploitasi pertama kali diarkibkan sebagai kelemahan oleh Pangkalan Data Kerentanan Kebangsaan (NVD) pada Ogos 2020. Kerentanan ini membolehkan peningkatan keistimewaan tempatan daripada mana-mana pengguna yang disahkan kepada SYSTEM.
Eksploitasi ini pada asasnya membolehkan pengguna menyuntik DLL ke dalam Pelanggan Galaxy GOG. Ringkasnya, GOG boleh digunakan untuk meningkatkan keistimewaan. Oleh itu, pengguna boleh mendapat peranan pentadbiran dalam sistem itu sendiri. Ini pada asasnya boleh membuka jalan kepada penggodam untuk mendapatkan akses kepada serangan rantaian bekalan pada sistem yang berbeza.
Seperti yang dinyatakan oleh entri Pangkalan Data NVD:
Pelanggan (aka GalaxyClientService.exe) dalam GOG GALAXY melalui 2.0.41 (sehingga 12:58 AM Eastern, 9/26/21) membenarkan peningkatan keistimewaan tempatan daripada mana-mana pengguna yang disahkan kepada SYSTEM dengan mengarahkan perkhidmatan Windows untuk melaksanakan arahan sewenang-wenangnya. Ini berlaku kerana penyerang boleh menyuntik DLL ke dalam GalaxyClient.exe, mengalahkan mekanisme perlindungan "pelanggan yang dipercayai" berasaskan TCP.
Tidak perlu dikatakan, mana-mana profil pengguna boleh memberikan dirinya sendiri keistimewaan pentadbiran melalui GOG Galaxy dan kemudian mendapat akses kepada setiap komputer di mana Klien GOG dipasang. Eksploitasi itu pada asalnya ditemui oleh penggodam topi putih dan Pengasas Keselamatan Positron Joseph Testa. Bagaimanapun, itu berlaku pada Januari 2020.
GOG bertindak balas dengan mengeluarkan kemas kini yang akan menyelesaikan isu ini. Walau bagaimanapun, didapati bahawa ini hanya mengemas kini kunci tandatangan yang digunakan untuk mengesahkan mesej. Kunci ini telah dipulihkan dan bukti konsep telah dikemas kini dengannya. Jadi ya, eksploitasi masih berfungsi, tidak diubah suai dan telah dilaporkan sebagai kelemahan 0 hari dalam pelanggan Galaxy GOG.
Joseph Testa menyiarkan analisis yang komprehensif yang memperincikan beberapa perbualannya dengan Sokongan GOG. Perbualan ini bermula pada 4 Jun 2020, dan keseluruhan urutan boleh dibaca dalam pautan di atas.
Sokongan GOG.com membalas dengan:
"Saya dimaklumkan bahawa Pembangun kami sedang berusaha untuk membetulkan isu itu, tetapi melaksanakan serangan itu memerlukan mesin itu telah dikompromi."
Kerana ini terdengar seperti GOG tidak mengambil serius isu ini, saya membalas dengan:
“Memang benar bahawa penyerang mesti mempunyai akses keistimewaan rendah kepada mesin itu. Tetapi masalahnya ialah ini boleh ditingkatkan menjadi hak Pentadbir dengan menyalahgunakan perisian GalaxyClientService. […] Peningkatan keistimewaan tempatan (LPE) ialah kelemahan yang serius.
Pelanggan GOG boleh memasang perisian/permainan daripada sumber lain yang tidak dipercayai tanpa hak Pentadbir, yang biasanya akan melindungi mereka daripada kompromi sistem penuh. Malangnya, disebabkan kelemahan yang saya temui dalam GalaxyClientService, semua akaun pengguna adalah pentadbir dengan berkesan."
Tidak lama selepas itu, GOG memberitahu Joseph bahawa pembangun mereka memerlukan tiga bulan untuk mencipta penyelesaian. Sudah tentu, memandangkan Penasihat sedang dalam talian, ini bermakna pembetulan ini tidak diberikan selepas masa 3 bulan berlalu. Malah, baru-baru ini pada September 2021, telah disahkan bahawa eksploitasi GOG Galaxy 2.0 terus berfungsi.
Dalam erti kata lain, mana-mana pengguna yang memasang Galaxy 2.0 akan menghadapi risiko penyerang mendapat akses pentadbir. Sebagai poster benang Reddit yang mendapati bahawa eksploitasi masih berfungsi meletakkannya:
Kebimbangan utama saya ialah orang ramai beranggapan bahawa, memandangkan ia telah lama melepasi garis masa 3 bulan yang dicadangkan oleh pembangun untuk pembetulan, bahawa ia telah ditetapkan. Jahanam, kenapa perlu pasukan pembangunan tidak membetulkan sesuatu seperti ini dalam perisian mereka? Malangnya ini tidak berlaku, dan sistem anda masih terdedah jika anda memasang GOG Galaxy 2.0.
Apabila Wccftech menghubungi GOG awal minggu ini untuk mengulas mengenai situasi ini, mereka membalas dengan kenyataan berikut:
Kami mengetahui isu keselamatan dalam GOG GALAXY dan kami mengesahkan bahawa kerja-kerja pembaikan sedang dijalankan. Ia ternyata menjadi satu perkara yang sangat kompleks dan memerlukan perubahan yang dibuat kepada reka bentuk pelanggan itu sendiri. Seperti biasa, kami akan memaklumkan pengguna tentang pembetulan dalam log perubahan GOG GALAXY sebaik sahaja tampung digunakan. Selain itu, kami ingin meyakinkan semua orang bahawa topik keselamatan adalah penting bagi kami dan kami mengambil semua perkara itu dengan serius.
Dalam bentuk semasa, the bukti konsep eksploitasi yang digariskan oleh Joseph Testa hanya menyebabkan pelanggan Galaxy ranap. Oleh itu, boleh disimpulkan dengan mudah bahawa ini mungkin langkah sementara yang dibuat oleh CDPR untuk menghalang sebarang serangan daripada berlaku semasa mereka berusaha menyelesaikan isu ini. Sudah tentu, ini juga boleh bermakna bahawa eksploitasi tidak lagi berfungsi dengan bukti konsep yang lapuk dan boleh diakses oleh penyerang berniat jahat dengan proses yang lebih halus.
Anda boleh menonton garis masa komprehensif peristiwa yang menggariskan keterukan eksploitasi di bawah dalam video YouTube yang dipautkan di bawah.
Buat masa ini, sebaiknya berhati-hati di sekitar program GOG Galaxy, dan sangat dinasihatkan untuk memerhatikan program yang dipasang melalui perkhidmatan tersebut.
Jawatan GOG Telah Mengalami Masalah Kerentanan Dalaman Yang Teruk Selama Hampir 2 Tahun; GOG: Ini Perkara yang Sangat Kompleks, tetapi Kerja-kerja Pembetulan Sedang Berterusan by Ule Lopez muncul pertama pada Wccftech.
