Co kdybych vám řekl, že jedinou funkcí jedné z komponent antivirového softwaru, která má důvěryhodný digitální podpis, je shromažďování všech vašich přihlašovacích údajů uložených v oblíbených internetových prohlížečích? Co když řeknu, že mu nezáleží na tom, čí je zájem je sbírat? Pravděpodobně si budete myslet, že jsem v bludu. Pojďme se podívat, jak to doopravdy je?
Porozumění
Žije a žije taková antivirová společnost jako . Vyrábí různé produkty související s informační bezpečností. Existují dokonce produkty zdarma pro domácí použití.
Pojďme se o bezplatnou verzi zajímat a podívat se, co produkt našich německých kolegů umí. Podíváme se na rozhraní – nic neobvyklého. O dalším z produktů společnosti – Avira Password Manager – nenajdeme žádnou zmínku.
Pojďme se podívat na komponent s názvem, který nepřitahuje pozornost “Avira.PWM.NativeMessaging.exe"? Je zkompilován pro platformu .NET a není nijak obfuskovaný, takže jej nahrajeme do dnSpy a volně studujeme programový kód.
Program je konzolový a očekává příkazy ve standardním vstupním proudu. Hlavní funkce pomocí "číst" načte data ze streamu, zkontroluje formát a předá příkaz funkci "ProcessMessage" Totéž zase zkontroluje, že přenášený příkaz je "fetchChromePasswords„nebo“fetchCredentials" (i když jaký je v tom rozdíl, když je další chování stejné?) a pak začíná ta nejzajímavější část - volání funkce "RetrieveBrowserCredentials" Je to dokonce zajímavé... co dokáže funkce s tímto názvem?
Nic neobvyklého, jednoduše shromáždí do jednoho seznamu všechny uživatelské účty uložené při práci s internetovými prohlížeči „Chrome“, „Opera“ (založeno na Chromiu), „Firefox“ a „Edge“ (založeno na Chromiu) a vrátí data jako objekt JSON.
No, pak zobrazí shromážděná data do konzole:
Podstata problému
- Komponenta shromažďuje přihlašovací údaje uživatele;
- Komponenta neověřuje volající program (například tím, zda má digitální podpis od samotného výrobce);
- Komponenta má „důvěryhodný“ digitální podpis a nevyvolává podezření u jiných výrobců antivirového softwaru;
- Komponenta běží jako samostatná aplikace.
IoC
SHA1: 13c95241e671b98342dba51741fd02621768ecd5.
K tomuto problému bylo vydáno CVE-2020-12680.
Dne 07.04.2020 jsem zaslal dopis o tomto problému na adresu: [chráněno e-mailem] и [chráněno e-mailem] s úplným popisem. Neobdržely žádné dopisy s odpovědí, včetně dopisů z automatických systémů. O měsíc později je popisovaná součást stále distribuována v distribuci Avira Free Antivirus.
Zdroj: www.habr.com