Šta ako vam kažem da je jedina funkcija jedne od komponenti antivirusnog softvera koja ima pouzdan digitalni potpis prikupljanje svih vaših vjerodajnica pohranjenih u popularnim internet pretraživačima? Šta ako kažem da njemu nije važno čiji je interes da ih skuplja? Vjerovatno ćete misliti da sam u zabludi. Da vidimo kako je zaista?
Razumijevanje
Živi i živi takva antivirusna kompanija kao što je . Proizvodi različite proizvode koji se odnose na sigurnost informacija. Postoje čak i besplatni proizvodi za kućnu upotrebu.
Hajde da se zainteresujemo za besplatnu verziju i vidimo šta sve može da uradi proizvod naših nemačkih kolega. Pogledamo preko interfejsa - ništa neobično. Ne nalazimo spominjanje još jednog proizvoda kompanije – Avira Password Manager.
Pogledajmo komponentu s imenom koja ne privlači pažnju “Avira.PWM.NativeMessaging.exe"? Kompajliran je za .NET platformu i ni na koji način nije zamagljen, tako da ga učitavamo u dnSpy i slobodno proučavamo programski kod.
Program je konzolni program i očekuje komande u standardnom ulaznom toku. Glavna funkcija pomoću "čitati" čita podatke iz toka, provjerava format i prosljeđuje naredbu funkciji "ProcessMessage" Isto, zauzvrat, provjerava da li je prenesena komanda "fetchChromePasswords" ili "fetchCredentials" (mada kakva je razlika ako je dalje ponašanje isto?) i tada počinje najzanimljiviji dio - pozivanje funkcije "RetrieveBrowserCredentials" Čak je zanimljivo... šta može funkcija s tim imenom?
Ništa neobično, jednostavno skuplja u jednu listu sve korisničke naloge sačuvane pri radu sa internet pretraživačima „Chrome“, „Opera“ (bazirani na Chromiumu), „Firefox“ i „Edge“ (bazirani na Chromiumu) i vraća podatke kao JSON objekat.
Pa, onda prikazuje prikupljene podatke na konzoli:
Suština problema
- Komponenta prikuplja korisničke vjerodajnice;
- Komponenta ne provjerava program koji poziva (na primjer, po tome da li ima digitalni potpis samog proizvođača);
- Komponenta ima “pouzdani” digitalni potpis i ne izaziva sumnju kod drugih proizvođača antivirusnog softvera;
- Komponenta radi kao zasebna aplikacija.
IoC
SHA1: 13c95241e671b98342dba51741fd02621768ecd5.
CVE-2020-12680 je izdat za ovo izdanje.
Dana 07.04.2020 poslao sam pismo o ovom problemu na: [email zaštićen] и [email zaštićen] sa punim opisom. Nije bilo pisama odgovora, uključujući i od automatskih sistema. Mjesec dana kasnije, opisana komponenta se i dalje distribuira u distribuciji Avira Free Antivirus.
izvor: www.habr.com