У GOG есть эксплойт уязвимости, который, по-видимому, игнорировался дочерней компанией CD Projekt RED с тех пор, как он был впервые обнаружен. Впервые эксплойт был заархивирован как уязвимость в Национальной базе данных уязвимостей (NVD) в августе 2020 года. Эта уязвимость позволяет локально повысить привилегии от любого аутентифицированного пользователя до прав администратора.
По сути, этот эксплойт позволяет пользователям внедрять библиотеки DLL в клиент GOG Galaxy. Проще говоря, GOG можно использовать для повышения привилегий. Таким образом, пользователи могут получить административную роль в самой системе. Это может существенно открыть хакерам возможность получить доступ к атакам цепочки поставок на различные системы.
Как сказано в записи базы данных NVD:
Клиент (также известный как GalaxyClientService.exe) в GOG GALAXY до версии 2.0.41 (по состоянию на 12:58 AM, 9/26/21) позволяет локально повышать привилегии от любого аутентифицированного пользователя до SYSTEM, давая указание службе Windows выполнять произвольные команды. Это происходит из-за того, что злоумышленник может внедрить DLL в GalaxyClient.exe, нарушив механизм защиты "доверенного клиента" на основе TCP.
Излишне говорить, что любой профиль пользователя может предоставить себе административные привилегии через GOG Galaxy, а затем получить доступ к каждому компьютеру, на котором установлен клиент GOG. Эксплойт был первоначально обнаружен белым хакером и основателем Positron Security Джозефом Теста. Однако случилось это в январе 2020 года.
GOG отреагировал выпуском обновления, которое должно было решить эту проблему. Однако было обнаружено, что при этом просто обновлялся ключ подписи, используемый для проверки сообщений. Этот ключ был восстановлен, и проверка концепции была обновлена с его помощью. Так что да, эксплойт по-прежнему работает без изменений и был зарегистрирован как уязвимость нулевого дня в клиенте GOG Galaxy.
Джозеф Теста опубликовал исчерпывающий анализ, в котором подробно описаны некоторые из его разговоров со службой поддержки GOG. Этот разговор начался 4 июня 2020 года, и всю цепочку можно прочитать по ссылке выше.
GOG.com служба поддержки ответила:
«Мне сообщили, что наши разработчики работают над устранением проблемы, но выполнение атаки требует, чтобы машина уже была скомпрометирована».
Поскольку это звучало так, как будто GOG не воспринимает проблему всерьез, я ответил:
«Это действительно правда, что злоумышленник уже должен иметь доступ к машине с низкими привилегиями. Но проблема в том, что это может перерости в права администратора, злоупотребляя программным обеспечением GalaxyClientService. [...] Локальная эскалация привилегий (LPE) является серьезной уязвимостью.
Клиенты GOG могут устанавливать программное обеспечение/игры из других ненадежных источников без прав администратора, что обычно защищает их от полной компрометации системы. К сожалению, из-за уязвимостей, которые я обнаружил в GalaxyClientService, все учетные записи пользователей фактически являются администраторами».
Вскоре после этого GOG сказал Джозефу, что их разработчикам потребовалось три месяца, чтобы создать решение. Конечно, поскольку Рекомендации в настоящее время находятся в сети, это означает, что это исправление не было предоставлено по истечении 3-месячного времени. На самом деле, совсем недавно, в сентябре 2021 года, было подтверждено, что эксплойт GOG Galaxy 2.0 продолжает работать.
Другими словами, любой пользователь, который установит Galaxy 2.0, может получить права администратора. Как гласит пост ветки Reddit, в котором обнаружено, что эксплойт все еще работает:
Меня больше всего беспокоит то, что люди предполагают, что, поскольку прошло так много 3-месячного срока, который разработчики предложили для исправления, это было исправлено. Черт возьми, почему бы команде разработчиков не исправить что-то подобное в своем программном обеспечении? Жаль, что это не так, и ваша система по-прежнему уязвима, если у вас установлен GOG Galaxy 2.0.
В начале этой недели GOG прокомментировали эту ситуацию, ответив следующим заявлением:
Мы знаем о проблеме безопасности в GOG GALAXY и подтверждаем, что работа над исправлением продолжается. Это оказалось очень сложным делом и потребовало внесения изменений в дизайн самого клиента. Как всегда, мы сообщим пользователям об исправлении в журнале изменений GOG GALAXY после развертывания патча. Кроме того, мы хотим заверить всех, что темы безопасности важны для нас, и мы относимся ко всем из них серьезно.
Ниже в ролике представлена подробная хронология событий, в которой описана серьезность эксплойта.
Гог удобен и без Гелекси, просто бери и качай дистрибутив. и никаких уязвимостей.
Спасибо за новость. Удалил клиент.
и? игры и так бесплатны, подозрительную активность заметят, изменения отменят, банковские платежи аннулируют