Etibarlı rəqəmsal imzaya malik olan antivirus proqram komponentlərindən birinin yeganə funksiyasının məşhur internet brauzerlərində saxlanılan bütün etimadnamələrinizi toplamaq olduğunu desəm nə olar? Mən desəm ki, onları toplamaq kimin maraqlarına uyğundur, onun üçün fərqi yoxdur? Çox güman ki, mənim xəyalpərəst olduğumu düşünəcəksiniz. Gəlin görək həqiqətən necədir?
Anlamaq
kimi antivirus şirkəti yaşayır və yaşayır . İnformasiya təhlükəsizliyi ilə bağlı müxtəlif məhsullar istehsal edir. Hətta evdə istifadə üçün pulsuz məhsullar var.
Gəlin pulsuz versiya ilə maraqlanaq və alman həmkarlarımızın məhsulunun nəyə qadir olduğunu görək. Biz interfeysə nəzər salırıq - qeyri-adi heç nə yoxdur. Biz şirkətin başqa bir məhsulu - Avira Password Manager haqqında heç bir qeyd tapmırıq.
Diqqəti cəlb etməyən adı olan komponentə nəzər salaq”Avira.PWM.NativeMessaging.exe"? O, .NET platforması üçün tərtib edilib və heç bir şəkildə qarışdırılmır, ona görə də biz onu dnSpy-a yükləyirik və proqram kodunu sərbəst öyrənirik.
Proqram konsol proqramıdır və standart giriş axınında əmrlər gözləyir. "istifadə edərək əsas funksiyaOxumaq"axından məlumatları oxuyur, formatı yoxlayır və əmri funksiyaya ötürür"Proses Mesajı" Eyni, öz növbəsində, ötürülən əmrin " olduğunu yoxlayır.FetchChromePasswords"və ya"fetchCredentials" (baxmayaraq ki, sonrakı davranış eyni olsa, nə fərqi var?) və sonra ən maraqlı hissə başlayır - funksiyanı çağırmaq "Brauzer Etibarnamələrini Alın" Hətta maraqlıdır... bu adda funksiya nə edə bilər?
Qeyri-adi heç nə yoxdur, o, sadəcə olaraq “Chrome”, “Opera” (Chromium əsasında), “Firefox” və “Edge” (Chromium əsasında) internet brauzerləri ilə işləyərkən saxlanmış bütün istifadəçi hesablarını bir siyahıya toplayır və məlumatları bir siyahı kimi qaytarır. JSON obyekti.
Yaxşı, sonra toplanmış məlumatları konsola göstərir:
Problemin mahiyyəti
- Komponent istifadəçi etimadnaməsini toplayır;
- Komponent zəng edən proqramı yoxlamır (məsələn, istehsalçının özündən rəqəmsal imza olub-olmaması ilə);
- Komponent "etibarlı" rəqəmsal imzaya malikdir və digər antivirus proqram istehsalçıları arasında şübhə doğurmur;
- Komponent ayrıca proqram kimi işləyir.
IoC
SHA1: 13c95241e671b98342dba51741fd02621768ecd5.
Bu məsələ üçün CVE-2020-12680 buraxılmışdır.
07.04.2020-ci ildə bu problemlə bağlı məktub göndərdim: [e-poçt qorunur] и [e-poçt qorunur] tam təsviri ilə. Avtomatik sistemlər də daxil olmaqla heç bir cavab məktubu yox idi. Bir ay sonra təsvir olunan komponent hələ də Avira Free Antivirus paylanmasında paylanır.
Mənbə: www.habr.com