CVE-2019-19741

Severity Score

7.8

*CVSS v3.1

Exploit Likelihood

*EPSS

Affected Versions

*CPE

Public Exploits

*Multiple Sources

Exploited in Wild

*KEV

Decision

*SSVC

Descriptions

Electronic Arts Origin 10.5.55.33574 is vulnerable to local privilege escalation due to arbitrary directory DACL manipulation, a different issue than CVE-2019-19247 and CVE-2019-19248. When Origin.exe connects to the named pipe OriginClientService, the privileged service verifies the client's executable file instead of its in-memory process (which can be significantly different from the executable file due to, for example, DLL injection). Data transmitted over the pipe is encrypted using a static key. Instead of hooking the pipe communication directly via WriteFileEx(), this can be bypassed by hooking the EVP_EncryptUpdate() function of libeay32.dll. The pipe takes the command CreateDirectory to create a directory and adjust the directory DACL. Calls to this function can be intercepted, the directory and the DACL can be replaced, and the manipulated DACL is written. Arbitrary DACL write is further achieved by creating a hardlink in a user-controlled directory that points to (for example) a service binary. The DACL is then written to this service binary, which results in escalation of privileges.

Electronic Arts Origin versión 10.5.55.33574, es vulnerable a una escalada de privilegios local debido a una manipulación arbitraria de la DACL de directorios, un problema diferente de CVE-2019-19247 y CVE-2019-19248. Cuando el archivo Origin.exe se conecta a la tubería llamada OriginClientService, el servicio privilegiado verifica el archivo ejecutable del cliente en lugar de su proceso en memoria (que puede ser significativamente diferente del archivo ejecutable debido, por ejemplo, a una inyección de DLL). Los datos transmitidos por medio de la tubería son cifrados usando una clave estática. En lugar de enganchar la comunicación de la tubería directamente por medio de la función WriteFileEx(), esto puede ser omitido enganchando la función EVP_EncryptUpdate() de la biblioteca libeay32.dll. La tubería toma el comando CreateDirectory para crear un directorio y ajustar la DACL del directorio. Las llamadas a esta función pueden ser interceptadas, el directorio y la DACL pueden ser reemplazadas y la DACL manipulada es escrita. La escritura arbitraria de la DACL es lograda aún más mediante la creación de un enlace físico en un directorio controlado por el usuario que apunta (por ejemplo) a un binario de servicio. La DACL es entonces escrita en este binario de servicio, lo que resulta en una escalada de privilegios.

*Credits: N/A

Attack Vector

Local

Attack Complexity

Low

Privileges Required

Low

User Interaction

None

Scope

Unchanged

Confidentiality

High

Integrity

High

Availability

High

Attack Vector

Local

Attack Complexity

Low

Authentication

None

Confidentiality

Complete

Integrity

Complete

Availability

Complete

* Common Vulnerability Scoring System

SSVC

Decision:-

Exploitation

Automatable

Tech. Impact

* Organization's Worst-case Scenario

Timeline

2019-12-12 CVE Reserved
2020-02-20 CVE Published
2023-03-08 EPSS Updated
2024-08-05 CVE Updated
---------- Exploited in Wild
---------- KEV Due Date
---------- First Exploit

CWE

CAPEC

References (1)

URL	Tag	Source
https://medium.com/%40tobiasgyoerfi/ea-origin-10-5-55-33574-createdirectory-arbitrary-dacl-write-privilege-escalation-cve-2019-19741-5f18adfabb27	X_refsource_misc

URL	Date	SRC

URL	Date	SRC

URL	Date	SRC

Affected Vendors, Products, and Versions

Vendor		Product				Version		Other		Status
Vendor	Product	Version	Other	Status	<-- -->	Vendor	Product	Version	Other	Status
Ea Search vendor "Ea"		Origin Search vendor "Ea" for product "Origin"				< 10.5.56.33908 Search vendor "Ea" for product "Origin" and version " < 10.5.56.33908"		macos		Affected
Ea Search vendor "Ea"		Origin Search vendor "Ea" for product "Origin"				< 10.5.56.33908 Search vendor "Ea" for product "Origin" and version " < 10.5.56.33908"		windows		Affected