ماذا لو أخبرتك أن الوظيفة الوحيدة لأحد مكونات برامج مكافحة الفيروسات الموثوقة رقميًا هي جمع كل بيانات الاعتماد المخزنة في متصفحات الإنترنت الشائعة؟ وإذا قلت أنه لا يهم من يجمعها في مصلحته؟ ربما تعتقد أنني متوهم. دعونا نرى كيف هو حقا ، نحن العرب؟
فهم
تعيش وتعيش مثل شركة مكافحة الفيروسات مثل . تنتج منتجات مختلفة تتعلق بأمن المعلومات. لديهم حتى منتجات مجانية للاستخدام المنزلي.
دعونا نضع اهتمامنا من أجل الإصدار المجاني ، ونرى ما يمكن أن يفعله منتج الزملاء الألمان. نحن نلقي نظرة على الواجهة - لا شيء غير عادي. لم نجد أي ذكر لمنتجات الشركة الأخرى - Avira Password Manager.
ودعنا نلقي نظرة على المكون الذي يحمل اسمًا غير مزعج "Avira.PWM.NativeMessaging.exe"؟ تم تجميعه لمنصة .NET الأساسي ولم يتم إخفاءه بأي شكل من الأشكال ، لذلك نقوم بتحميله في dnSpy وندرس رمز البرنامج بحرية.
البرنامج عبارة عن برنامج وحدة تحكم ويتوقع أوامر على الإدخال القياسي. الوظيفة الرئيسية مع "عرض»يقرأ البيانات من الدفق ويتحقق من التنسيق ويمرر الأمر إلى الوظيفة«معالجة الرسالة". نفس الشيء ، بدوره ، يتحقق من أن الأمر الذي تم تمريره هو "جلب كروم" أو "fetchCredentials"(على الرغم من الفرق الذي يحدث إذا كان السلوك الإضافي هو نفسه؟) ثم تبدأ المتعة - استدعاء الوظيفة"استرداد بيانات اعتماد المتصفح". إنه مثير للاهتمام ... ما الذي يمكن أن تفعله وظيفة بهذا الاسم؟
نعم ، لا شيء غير عادي ، فهو يجمع ببساطة في قائمة واحدة جميع حسابات المستخدمين التي حفظها عند العمل مع متصفحات الإنترنت "Chrome" و "Opera" (استنادًا إلى Chromium) و "Firefox" و "Edge" (استنادًا إلى Chromium) و إرجاع البيانات ككائن JSON.
حسنًا ، ثم يقوم بطباعة البيانات المجمعة إلى وحدة التحكم:
جوهر المشكلة
- المكون يجمع بيانات اعتماد المستخدم ؛
- لا يتحقق المكون من برنامج الاستدعاء (على سبيل المثال ، من خلال وجود توقيع رقمي للشركة المصنعة نفسها) ؛
- يحتوي المكون على توقيع رقمي "موثوق به" ولا يثير الشكوك بين الشركات المصنعة لبرامج مكافحة الفيروسات الأخرى ؛
- المكون يعمل كتطبيق مستقل.
IoC
SHA1: 13c95241e671b98342dba51741fd02621768ecd5.
تم فتح CVE-2020-12680 لهذه المشكلة.
بتاريخ 07.04.2020/XNUMX/XNUMX قمت بإرسال رسالة بخصوص هذه المشكلة إلى [البريد الإلكتروني محمي] и [البريد الإلكتروني محمي] مع الوصف الكامل. لم تكن هناك رسائل رد ، بما في ذلك من أنظمة آلية. بعد شهر ، لا يزال المكون الموصوف موزعًا في توزيع Avira Free Antivirus.
المصدر: www.habr.com