Beth pe bawn i'n dweud wrthych mai unig swyddogaeth un o'r cydrannau meddalwedd gwrthfeirws sydd â llofnod digidol dibynadwy yw casglu'ch holl gymwysterau sydd wedi'u storio mewn porwyr Rhyngrwyd poblogaidd? Beth os dywedaf nad oes ots i’r sawl sydd o fudd i’w casglu? Mae'n debyg y byddwch chi'n meddwl fy mod i'n lledrithiol. Gadewch i ni weld sut y mae mewn gwirionedd?
Deall
Yn byw ac yn byw cwmni gwrthfeirws fel
Gadewch i ni gael diddordeb yn y fersiwn am ddim a gweld beth all cynnyrch ein cydweithwyr yn yr Almaen ei wneud. Rydyn ni'n edrych ar y rhyngwyneb - dim byd anarferol. Nid ydym yn dod o hyd i unrhyw sôn am un arall o gynhyrchion y cwmni - Rheolwr Cyfrinair Avira.
Gadewch i ni edrych ar y gydran gyda'r enw nad yw'n denu sylw "Avira.PWM.NativeMessaging.exe"? Mae'n cael ei lunio ar gyfer y llwyfan .NET ac nid yw'n obfuscated mewn unrhyw ffordd, felly rydym yn llwytho i mewn i dnSpy ac yn rhydd astudio cod y rhaglen.
Mae'r rhaglen yn rhaglen consol ac mae'n disgwyl gorchmynion yn y ffrwd mewnbwn safonol. Prif swyddogaeth gan ddefnyddio "Darllen" " yn darllen data o'r ffrwd , yn gwirio'r fformat ac yn trosglwyddo'r gorchymyn i'r ffwythiant "ProcessMessage" Mae'r un peth, yn ei dro, yn gwirio bod y gorchymyn a drosglwyddir yn "nôlCyfrineiriauChrome" neu "nôlCredentials" (er pa wahaniaeth mae'n ei wneud os yw'r ymddygiad pellach yr un peth?) ac yna mae'r rhan fwyaf diddorol yn dechrau - galw'r ffwythiant "RetrieveBrowserCredentials" Mae hyd yn oed yn ddiddorol... beth all swyddogaeth gyda'r enw hwnnw ei wneud?
Dim byd anarferol, yn syml mae'n casglu i un rhestr yr holl gyfrifon defnyddwyr a arbedwyd wrth weithio gyda phorwyr Rhyngrwyd “Chrome”, “Opera” (yn seiliedig ar Chromium), “Firefox” ac “Edge” (yn seiliedig ar Chromium) ac yn dychwelyd y data fel JSON gwrthrych.
Wel, yna mae'n dangos y data a gasglwyd i'r consol:
Hanfod y broblem
- Mae'r gydran yn casglu manylion y defnyddiwr;
- Nid yw'r gydran yn gwirio'r rhaglen alw (er enghraifft, a oes ganddi lofnod digidol gan y gwneuthurwr ei hun);
- Mae gan y gydran lofnod digidol “ymddiried” ac nid yw'n codi amheuaeth ymhlith gweithgynhyrchwyr meddalwedd gwrth-firws eraill;
- Mae'r gydran yn rhedeg fel cais ar wahân.
IoC
SHA1: 13c95241e671b98342dba51741fd02621768ecd5.
Cyhoeddwyd CVE-2020-12680 ar gyfer y rhifyn hwn.
Ar 07.04.2020/XNUMX/XNUMX anfonais lythyr am y broblem hon at: [e-bost wedi'i warchod] и [e-bost wedi'i warchod] gyda disgrifiad llawn. Nid oedd unrhyw lythyrau ymateb, gan gynnwys o systemau awtomatig. Fis yn ddiweddarach, mae'r gydran a ddisgrifir yn dal i gael ei ddosbarthu yn y dosbarthiad Antivirus Free Avira.
Ffynhonnell: hab.com