Што калі я Вам скажу, што адзінай функцыяй аднаго з кампанентаў антывіруснага ПЗ, які мае давераны лічбавы подпіс, з'яўляецца збор усіх Вашых уліковых дадзеных захаваных у папулярных Інтэрнэт-браўзэрах? А калі я скажу што яму ўсё роўна ў чыіх інтарэсах іх збіраць? Напэўна падумаеце што я трызню. А давайце паглядзім як насамрэч?
Разбіраемся
Жыве сабе і жыве такая антывірусная кампанія як . Выпускае розныя прадукты звязаныя з інфармацыйнай бяспекай. У асартыменце нават ёсць бясплатныя прадукты для хатняга карыстання.
Усталюем сабе цікавасці дзеля бясплатную версію, паглядзець што ўмее прадукт нямецкіх калег. Прабягаем поглядам па інтэрфейсе - нічога незвычайнага. Не знаходзім ніякага згадкі яшчэ аднаго з прадуктаў кампаніі - Avira Password Manager.
А давайце зазірнем у кампанент з імем, якое нічым не прыцягвае ўвагу.Avira.PWM.NativeMessaging.exe»? Ён скампіляваны для платформы. NET і ніяк не обфусцирован, таму загружаем яго ў dnSpy і вольна вывучаем код праграмы.
Праграма кансольная і яна чакае каманд у стандартным патоку ўводу. Галоўная функцыя пры дапамозе «Чытаць» счытвае дадзеныя з патоку, правярае фармат і перадае каманду ў функцыю «ProcessMessage». Тая ж, у сваю чаргу, правярае што перададзеная каманда з'яўляецца "fetchChromePasswords"або"fetchCredentials(хоць якая розніца калі далейшыя паводзіны аднолькавыя?) і тады пачынаецца самае цікавае – выклік функцыіRetrieveBrowserCredentials». Цікава нават… што можа выконваць функцыя з такім імем?
Ды нічога незвычайнага, проста збірае ў адзін спіс усе ўліковыя запісы карыстальніка, захаваныя ім пры працы з Інтэрнэт-браўзэрамі "Chrome", "Opera" (на базе Chromium), "Firefox" і "Edge" (на базе Chromium) і вяртае дадзеныя у выглядзе JSON-аб'екта.
Ну а затым выводзіць сабраныя дадзеныя ў кансоль:
Сутнасць праблемы
- Кампанент збірае карыстацкія ўліковыя дадзеныя;
- Кампанент не верыфікуе выклікалую праграму (напрыклад, па наяўнасці ў яе лічбавага подпісу самога вытворцы);
- Кампанент мае "давераны" лічбавы подпіс і не выклікае падазрэнне ў іншых вытворцаў антывіруснага ПА;
- Кампанент працуе як асобнае прыкладанне.
IoC
SHA1: 13c95241e671b98342dba51741fd02621768ecd5.
Па дадзенай праблеме быў заведзены CVE-2020-12680.
Аб гэтай праблеме мною 07.04.2020 быў накіраваны ліст у адрас [электронная пошта абаронена] и [электронная пошта абаронена] з поўным апісаннем. Зваротных лістоў, уключаючы ад аўтаматычных сістэм не паступала. Праз месяц апісваны кампанент усё гэтак жа распаўсюджваецца ў дыстрыбутыве Avira Free Antivirus.
Крыніца: habr.com