Was wäre, wenn ich Ihnen sagen würde, dass die einzige Funktion einer der Antivirensoftwarekomponenten, die über eine vertrauenswürdige digitale Signatur verfügt, darin besteht, alle Ihre in gängigen Internetbrowsern gespeicherten Anmeldeinformationen zu sammeln? Was ist, wenn ich sage, dass es demjenigen, dessen Interessen es sind, sie einzusammeln, egal ist? Sie werden wahrscheinlich denken, dass ich eine Wahnvorstellung habe. Mal sehen, wie es wirklich ist?
Aussortiert
Lebt und lebt ein solches Antivirenunternehmen wie . Produziert verschiedene Produkte im Zusammenhang mit Informationssicherheit. Es gibt sogar kostenlose Produkte für den Heimgebrauch.
Lassen Sie uns an der kostenlosen Version interessiert sein und sehen, was das Produkt unserer deutschen Kollegen kann. Wir werfen einen Blick auf die Benutzeroberfläche – nichts Ungewöhnliches. Wir finden keine Erwähnung eines anderen Produkts des Unternehmens – Avira Password Manager.
Werfen wir einen Blick auf die Komponente mit dem Namen, der nicht auffällt.“Avira.PWM.NativeMessaging.exe„? Es ist für die .NET-Plattform kompiliert und in keiner Weise verschleiert, also laden wir es in dnSpy und studieren den Programmcode frei.
Das Programm ist ein Konsolenprogramm und erwartet Befehle im Standard-Eingabestream. Hauptfunktion mit „Lesen Sie mehr„liest Daten aus dem Stream, prüft das Format und übergibt den Befehl an die Funktion“Prozessnachricht" Dasselbe wiederum prüft, ob der übermittelte Befehl „fetchChromePasswords"Oder"fetchCredentials" (obwohl welchen Unterschied es macht, wenn das weitere Verhalten das gleiche ist?) und dann beginnt der interessanteste Teil - der Aufruf der Funktion "RetrieveBrowserCredentials" Es ist sogar interessant ... was kann eine Funktion mit diesem Namen tun?
Nichts Ungewöhnliches, es sammelt einfach alle Benutzerkonten, die bei der Arbeit mit den Internetbrowsern „Chrome“, „Opera“ (basierend auf Chromium), „Firefox“ und „Edge“ (basierend auf Chromium) gespeichert wurden, in einer Liste und gibt die Daten als zurück JSON-Objekt.
Nun, dann werden die gesammelten Daten auf der Konsole angezeigt:
Das Wesen des Problems
- Die Komponente sammelt Benutzeranmeldeinformationen;
- Die Komponente überprüft das aufrufende Programm nicht (z. B. ob es eine digitale Signatur vom Hersteller selbst besitzt);
- Die Komponente verfügt über eine „vertrauenswürdige“ digitale Signatur und erregt bei anderen Herstellern von Antivirensoftware keinen Verdacht;
- Die Komponente wird als separate Anwendung ausgeführt.
IOC
SHA1: 13c95241e671b98342dba51741fd02621768ecd5.
Für dieses Problem wurde CVE-2020-12680 ausgegeben.
Am 07.04.2020 habe ich einen Brief zu diesem Problem an folgende Adresse geschickt: [E-Mail geschützt] и [E-Mail geschützt] mit ausführlicher Beschreibung. Es gab keine Antwortschreiben, auch nicht von automatischen Systemen. Einen Monat später ist die beschriebene Komponente immer noch in der Avira Free Antivirus-Distribution enthalten.
Source: habr.com