Wat as ek jou vertel dat die enigste funksie van een van die betroubare digitaal ondertekende anti-virus sagteware komponente is om al jou geloofsbriewe te versamel wat in gewilde internetblaaiers gestoor is? En as ek sê dat dit nie vir hom saak maak in wie se belang om dit af te haal nie? Jy dink seker ek is waan. Kom ons kyk hoe dit regtig is, sal ons?
Begrip
Leef en leef so 'n anti-virus maatskappy soos . Dit produseer verskeie produkte wat verband hou met inligtingsekuriteit. Hulle het selfs gratis produkte vir tuisgebruik.
Kom ons stel onsself belang ter wille van die gratis weergawe, kyk wat die produk van Duitse kollegas kan doen. Ons kyk na die koppelvlak - niks ongewoons nie. Ons vind geen melding van nog een van die maatskappy se produkte nie - Avira Password Manager.
En kom ons kyk na die komponent met 'n onopvallende naam "Avira.PWM.NativeMessaging.exe"? Dit is saamgestel vir die .NET-platform en is nie op enige manier verduister nie, so ons laai dit in dnSpy en bestudeer vrylik die programkode.
Die program is 'n konsoleprogram en dit verwag opdragte op standaardinvoer. Hooffunksie met "Lees» lees data uit die stroom, kontroleer die formaat en gee die opdrag na die funksie «Prosesboodskap". Dieselfde kontroleer op sy beurt dat die geslaagde opdrag "haalChrome-wagwoorde"of"haal Geloofsbriewe" (hoewel watter verskil maak dit as die verdere gedrag dieselfde is?) en dan begin die pret - om die funksie te noem "Haal Blaaier-bewyse op". Dit is selfs interessant ... wat kan 'n funksie met daardie naam doen?
Ja, niks ongewoons nie, dit versamel eenvoudig in een lys al die gebruikersrekeninge wat deur hom gestoor is wanneer hy met die internetblaaiers "Chrome", "Opera" (gebaseer op Chromium), "Firefox" en "Edge" (gebaseer op Chromium) en gee die data terug as 'n JSON-voorwerp.
Wel, dan druk dit die versamelde data na die konsole:
Die kern van die probleem
- Die komponent versamel gebruikersbewyse;
- Die komponent verifieer nie die oproepprogram nie (byvoorbeeld deur die teenwoordigheid van 'n digitale handtekening van die vervaardiger self);
- Die komponent het 'n "vertroude" digitale handtekening en wek nie agterdog by ander anti-virus sagteware vervaardigers nie;
- Die komponent werk as 'n selfstandige toepassing.
IoC
SHA1: 13c95241e671b98342dba51741fd02621768ecd5.
CVE-2020-12680 is vir hierdie kwessie oopgemaak.
Op 07.04.2020/XNUMX/XNUMX het ek 'n brief oor hierdie probleem aan [e-pos beskerm] и [e-pos beskerm] met volledige beskrywing. Daar was geen antwoordbriewe nie, insluitend van outomatiese stelsels. 'n Maand later word die beskryfde komponent steeds in die Avira Free Antivirus-verspreiding versprei.
Bron: will.com