¿Qué pasaría si le dijera que la única función de uno de los componentes del software antivirus que tiene una firma digital confiable es recopilar todas sus credenciales almacenadas en los navegadores de Internet más populares? ¿Y si digo que no le importa a quién le interesa cobrarlos? Probablemente pensarás que estoy delirando. ¿Veamos cómo es realmente?
Nosotros entendemos
Vive y vive una empresa antivirus como . Produce diversos productos relacionados con la seguridad de la información. Incluso hay productos gratuitos para uso doméstico.
Interesémonos en la versión gratuita y veamos qué puede hacer el producto de nuestros colegas alemanes. Echamos un vistazo a la interfaz: nada inusual. No encontramos ninguna mención de otro de los productos de la empresa: Avira Password Manager.
Echemos un vistazo al componente con el nombre que no llama la atención "Avira.PWM.NativeMessaging.exe"? Está compilado para la plataforma .NET y no está ofuscado de ninguna manera, por lo que lo cargamos en dnSpy y estudiamos libremente el código del programa.
El programa es un programa de consola y espera comandos en el flujo de entrada estándar. Función principal usando "Leer"lee datos de la secuencia, verifica el formato y pasa el comando a la función"Mensaje de proceso" El mismo, a su vez, comprueba que el comando transmitido sea "buscarcontraseñas de Chrome"O"buscarCredenciales" (aunque ¿qué diferencia hay si el comportamiento posterior es el mismo?) y luego comienza la parte más interesante: llamar a la función "Recuperar credenciales del navegador" Es incluso interesante… ¿qué puede hacer una función con ese nombre?
Nada inusual, simplemente reúne en una lista todas las cuentas de usuario guardadas cuando se trabaja con los navegadores de Internet “Chrome”, “Opera” (basado en Chromium), “Firefox” y “Edge” (basado en Chromium) y devuelve los datos como un Objeto JSON.
Bueno, luego muestra los datos recopilados en la consola:
La esencia del problema
- El componente recopila credenciales de usuario;
- El componente no verifica el programa que llama (por ejemplo, si tiene una firma digital del propio fabricante);
- El componente tiene una firma digital "confiable" y no despierta sospechas entre otros fabricantes de software antivirus;
- El componente se ejecuta como una aplicación independiente.
COI
SHA1: 13c95241e671b98342dba51741fd02621768ecd5.
Se emitió CVE-2020-12680 para este problema.
El 07.04.2020/XNUMX/XNUMX envié una carta sobre este problema a: [email protected] и [email protected] con descripción completa. No hubo cartas de respuesta, ni siquiera de sistemas automáticos. Un mes después, el componente descrito todavía se distribuye en la distribución Avira Free Antivirus.
Fuente: habr.com