Hvad hvis jeg fortalte dig, at den eneste funktion af en af antivirussoftwarekomponenterne, der har en pålidelig digital signatur, er at indsamle alle dine legitimationsoplysninger, der er gemt i populære internetbrowsere? Hvad hvis jeg siger, at det er ligegyldigt for ham, hvis interesser det er at indsamle dem? Du vil sikkert tro, at jeg er vrangforestilling. Lad os se, hvordan det virkelig er?
Forståelse
Bor og lever sådan et antivirusfirma som . Producerer forskellige produkter relateret til informationssikkerhed. Der er endda gratis produkter til hjemmebrug.
Lad os interessere os for den gratis version og se, hvad vores tyske kollegers produkt kan. Vi kigger over grænsefladen - intet usædvanligt. Vi finder ingen omtale af et andet af virksomhedens produkter - Avira Password Manager.
Lad os tage et kig på komponenten med navnet, der ikke tiltrækker opmærksomhed "Avira.PWM.NativeMessaging.exe"? Det er kompileret til .NET platformen og er ikke sløret på nogen måde, så vi indlæser det i dnSpy og frit studerer programkoden.
Programmet er et konsolprogram, og det forventer kommandoer i standardinputstrømmen. Hovedfunktion ved hjælp af "Læs" læser data fra streamen, kontrollerer formatet og sender kommandoen til funktionen "ProcessMessage" Det samme kontrollerer til gengæld, at den sendte kommando er "henteChromePasswords"eller"hente legitimationsoplysninger" (selvom hvilken forskel gør det, hvis den videre adfærd er den samme?) og så begynder den mest interessante del - at kalde funktionen "Hent browseroplysninger" Det er endda interessant... hvad kan en funktion med det navn?
Intet usædvanligt, det samler simpelthen alle de brugerkonti, der er gemt, når du arbejder med internetbrowsere "Chrome", "Opera" (baseret på Chromium), "Firefox" og "Edge" (baseret på Chromium) på én liste og returnerer dataene som en JSON objekt.
Nå, så viser den de indsamlede data til konsollen:
Kernen i problemet
- Komponenten indsamler brugeroplysninger;
- Komponenten verificerer ikke det kaldende program (f.eks. ved om den har en digital signatur fra producenten selv);
- Komponenten har en "betroet" digital signatur og vækker ikke mistanke blandt andre producenter af antivirussoftware;
- Komponenten kører som en separat applikation.
IoC
SHA1: 13c95241e671b98342dba51741fd02621768ecd5.
CVE-2020-12680 blev udstedt til dette problem.
Den 07.04.2020/XNUMX/XNUMX sendte jeg et brev om dette problem til: [e-mail beskyttet] и [e-mail beskyttet] med fuld beskrivelse. Der var ingen svarbreve, herunder fra automatiske systemer. En måned senere distribueres den beskrevne komponent stadig i Avira Free Antivirus-distributionen.
Kilde: www.habr.com