E se vi dissi chì l'unica funzione di unu di i cumpunenti di u software antivirus chì hà una firma digitale di fiducia hè di cullà tutte e vostre credenziali guardate in i navigatori Internet populari? E s'ellu dicu chì ùn importa micca à quellu chì l'interessu hè di cullà ? Probabilmente penserete chì sò delirante. Videmu cumu hè veramente?
Capisce
Vive è vive una cumpagnia di antivirus cum'è . Produce diversi prudutti ligati à a sicurità di l'infurmazioni. Ci sò ancu prudutti gratuiti per l'usu in casa.
Interessemu à a versione libera è vede ciò chì u pruduttu di i nostri culleghi tedeschi pò fà. Fighjemu nantu à l'interfaccia - nunda inusual. Ùn truvamu nisuna menzione di un altru di i prudutti di a cumpagnia - Avira Password Manager.
Fighjemu un ochju à u cumpunente cù u nome chì ùn attrae micca l'attenzione "Avira.PWM.NativeMessaging.exe"? Hè cumpilatu per a piattaforma .NET è ùn hè micca obfuscata in ogni modu, cusì carchemu in dnSpy è studià liberamente u codice di u prugramma.
U prugramma hè un prugramma di cunsola è aspetta cumandamenti in u flussu di input standard. Funzione principale cù "Leggi"leghje i dati da u flussu, verifica u furmatu è passa u cumandamentu à a funzione"ProcessMessage" U listessu, à u turnu, verifica chì u cumandamentu trasmessu hè "pigliate e password di Chrome" o "fetchCredentials" (ancu chì a diferenza face se u cumportamentu ulteriore hè u listessu?) È dopu principia a parte più interessante - chjamà a funzione "RetrieveBrowserCredentials" Hè ancu interessante ... chì pò fà una funzione cù quellu nome?
Nunda di inusual, solu raccoglie in una lista tutti i cunti d'utilizatori salvati quandu travaglia cù i navigatori Internet "Chrome", "Opera" (basatu nantu à Chromium), "Firefox" è "Edge" (basatu in Chromium) è torna i dati cum'è un Oggettu JSON.
Ebbè, allora mostra i dati raccolti à a cunsola:
L'essenza di u prublema
- U cumpunente raccoglie credenziali di l'utilizatori;
- U cumpunente ùn verifica micca u prugramma di chjama (per esempiu, da s'ellu hà una firma digitale da u fabricatore stessu);
- U cumpunente hà una firma digitale "fiducia" è ùn suscite micca suspetti trà l'altri pruduttori di software antivirus;
- U cumpunente funziona cum'è una applicazione separata.
IoC
SHA1: 13c95241e671b98342dba51741fd02621768ecd5.
CVE-2020-12680 hè statu emessu per questu prublema.
U 07.04.2020/XNUMX/XNUMX aghju mandatu una lettera annantu à stu prublema à: [email prutettu] и [email prutettu] cù descrizzione completa. Ùn ci era micca lettere di risposta, ancu da i sistemi automatichi. Un mesi dopu, u cumpunente descrittu hè sempre distribuitu in a distribuzione Avira Free Antivirus.
Source: www.habr.com