Depuis des années. Il y a eu une grave vulnérabilité interne dans GOG Galaxy ! [VIDEO]

TECH ACTUS – Pendant longtemps, le client de la boutique numérique de CD Projekt, GOG Galaxy, présentait une grave faille de sécurité !

 

Le NVD, ou la National Vulnerability Database, a archivé la vulnérabilité en août 2020, permettant à tout utilisateur d’obtenir un accès au niveau du système. Un utilisateur peut injecter des DLL dans le client GOG Galaxy et devenir un administrateur de l’interface, permettant ainsi d’autres attaques, car tous les PC installés sur Galaxy sont accessibles de cette façon !

La description officielle de NVD se lit comme suit : « Le client (alias GalaxyClientService.exe) dans GOG GALAXY jusqu’à la version 2.0.41 (à partir de 00h58 heure de l’Est, le 26/09/21) permet l’élévation des privilèges locaux de tout utilisateur authentifié vers SYSTEM en indiquant le service Windows pour exécuter des commandes arbitraires. Cela se produit parce que l’attaquant peut injecter une DLL dans GalaxyClient.exe, déjouant ainsi le mécanisme de protection “client de confiance” basé sur TCP.”

Joseph Testa, le fondateur de Positron Security (également un hacker au chapeau blanc), a découvert le vulnerability en janvier 2020. Il y a presque DEUX ANS ! À cela, GOG a répondu dans une déclaration qu’ils corrigeraient cela avec une mise à jour… qui n’a changé que la clé de signature qui vérifie les messages, et la vulnérabilité est toujours active comme avant. Il a également été signalé comme une vulnérabilité de 0 jour dans le client GOG Galaxy. Testa a également publié un analyse détaillée  de la vulnérabilité, y compris sa communication avec le service client de GOG.

Citant son message : « Le support de GOG.com a répondu : « J’ai été informé que nos développeurs travaillaient à la résolution du problème, mais l’exécution de l’attaque nécessite que la machine soit déjà compromise. » Parce que cela ressemblait à GOG ne prenait pas le problème au sérieux , j’ai répondu : ” Il est en effet vrai qu’un attaquant doit déjà avoir un accès à faible privilège à la machine. Mais le problème est que cela peut être transformé en droits d’administrateur en abusant du logiciel GalaxyClientService. […] L’élévation des privilèges locaux (LPE) est une vulnérabilité sérieuse. Les clients GOG peuvent installer des logiciels/jeux provenant d’autres sources non fiables sans droits d’administrateur, ce qui les protégerait normalement d’une compromission totale du système. Malheureusement, en raison des vulnérabilités que j’ai découvertes dans GalaxyClientService, tous les comptes d’utilisateurs sont effectivement des administrateurs.””

GOG a ensuite demandé trois mois à Testa pour le réparer, ce qui n’a bien sûr pas été fait, même si cela aurait pu être fait plusieurs fois depuis début 2020. Selon un fil sur Reddit, “Ma principale préoccupation est que les gens supposent que, puisqu’il a été si longtemps au-delà du délai de 3 mois que les développeurs ont proposé pour un correctif, qu’il a été corrigé. Bon sang, pourquoi une équipe de développement ne corrigerait-elle pas quelque chose comme ça dans leur logiciel? Dommage que ce ne soit pas le cas, et votre système est toujours vulnérable si vous avez installé GOG Galaxy 2.0.” Et GOG a écrit cette déclaration à WCCFTech : “Nous sommes conscients du problème de sécurité dans GOG GALAXY, et nous confirmons que les travaux sur le correctif sont en cours. Cela s’est avéré être une question très complexe et nécessite des modifications apportées à la conception du client Nous informerons toujours les utilisateurs du correctif dans le journal des modifications de GOG GALAXY une fois le correctif déployé. De plus, nous voulons rassurer tout le monde que les sujets de sécurité sont importants pour nous, et nous les prenons tous au sérieux.

Pas tellement s’il est toujours là après deux ans. Testa a également publié une preuve de concept de la vulnérabilité sur Github , bien sûr, quelque peu réduit : tout ce qu’il peut faire est de planter le client. Cela dit, il semble que CD Projekt ne ferme pas sur un haut note cette année après le fiasco Cyberpunk de l’année dernière…

Source : WCCFTech

Spread the love
Avatar photo
Anikó, our news editor and communication manager, is more interested in the business side of the gaming industry. She worked at banks, and she has a vast knowledge of business life. Still, she likes puzzle and story-oriented games, like Sherlock Holmes: Crimes & Punishments, which is her favourite title. She also played The Sims 3, but after accidentally killing a whole sim family, swore not to play it again. (For our office address, email and phone number check out our IMPRESSUM)

theGeek TV