Unsa kaha kung sultihan ko ikaw nga ang bugtong gimbuhaton sa usa sa mga sangkap sa antivirus software nga adunay kasaligan nga digital nga pirma mao ang pagkolekta sa tanan nimo nga mga kredensyal nga gitipigan sa sikat nga mga browser sa Internet? Unsa kaha kon moingon ko nga dili igsapayan kaniya kansang interes mao ang pagkolekta niini? Tingali maghunahuna ka nga naglimbong ako. Atong tan-awon kung unsa gyud kini?
Pagsabot
Nagpuyo ug nagpuyo sa usa ka kompanya sa antivirus sama sa . Naghimo sa lainlaing mga produkto nga may kalabotan sa seguridad sa kasayuran. Adunay bisan mga libre nga mga produkto alang sa paggamit sa balay.
Interesado ta sa libre nga bersyon ug tan-awon kung unsa ang mahimo sa produkto sa among mga kauban nga Aleman. Gitan-aw namon ang interface - walaβy talagsaon. Wala kami makit-an nga paghisgot sa lain nga produkto sa kompanya - Avira Password Manager.
Atong tan-awon ang sangkap nga adunay ngalan nga dili makadani sa atensyon "Avira.PWM.NativeMessaging.exe"? Gihugpong kini alang sa .NET nga plataporma ug wala ma-obfuscate sa bisan unsang paagi, mao nga gikarga namo kini sa dnSpy ug gawasnon nga nagtuon sa program code.
Ang programa usa ka console nga programa ug kini nagpaabot sa mga sugo sa standard input stream. Panguna nga function gamit ang "Basaha"nagbasa sa datos gikan sa sapa, nagsusi sa format ug nagpasa sa sugo ngadto sa function "Proseso nga Mensahe" Ang sama, sa baylo, nagsusi nga ang gipasa nga sugo mao ang "fetchChromePasswords" o "fetchCredentials" (bisan kung unsa nga kalainan ang mahimo kung ang dugang nga pamatasan parehas?) ug unya ang labing makapaikag nga bahin magsugod - pagtawag sa function "RetrieveBrowserCredentials" Makapainteres pa kini ... unsa ang mahimo sa usa ka function nga adunay kana nga ngalan?
Wala'y talagsaon, gikolekta lang niini sa usa ka lista ang tanan nga mga account sa gumagamit nga natipig kung nagtrabaho sa mga browser sa Internet nga "Chrome", "Opera" (base sa Chromium), "Firefox" ug "Edge" (base sa Chromium) ug ibalik ang datos ingon usa ka JSON nga butang.
Aw, unya gipakita niini ang nakolekta nga datos sa console:
Ang diwa sa suliran
- Ang sangkap nagkolekta sa mga kredensyal sa tiggamit;
- Ang sangkap wala magpamatuod sa programa sa pagtawag (pananglitan, kung kini adunay digital nga pirma gikan sa tiggama mismo);
- Ang sangkap adunay usa ka "gisaligan" nga digital nga pirma ug wala magpataas sa pagduda sa ubang mga tiggama sa antivirus software;
- Ang sangkap nagdagan ingon usa ka bulag nga aplikasyon.
IoC
SHA1: 13c95241e671b98342dba51741fd02621768ecd5.
Ang CVE-2020-12680 gi-isyu alang niini nga isyu.
Kaniadtong 07.04.2020/XNUMX/XNUMX nagpadala ako usa ka sulat bahin sa kini nga problema sa: [protektado sa email] ΠΈ [protektado sa email] uban sa bug-os nga paghulagway. Walay mga tubag nga mga sulat, lakip ang gikan sa mga awtomatikong sistema. Paglabay sa usa ka bulan, ang gihulagway nga sangkap giapod-apod gihapon sa pag-apod-apod sa Avira Free Antivirus.
Source: www.habr.com