Mis siis, kui ma ütleksin teile, et ühe usaldusväärse digitaalallkirjaga viirusetõrjetarkvara komponendi ainus funktsioon on koguda kõik teie populaarsetesse Interneti-brauseritesse salvestatud mandaadid? Mis siis, kui ma ütlen, et tema jaoks pole vahet, kelle huvides on neid koguda? Tõenäoliselt arvate, et ma olen pettekujutelm. Vaatame, kuidas see tegelikult on?
Mõistmine
Elab ja elab selline viirusetõrjefirma nagu . Toodab erinevaid infoturbega seotud tooteid. Koduseks kasutamiseks on isegi tasuta tooteid.
Tundkem huvi tasuta versiooni vastu ja vaatame, mida meie Saksa kolleegide toode suudab. Heidame pilgu liidesele – ei midagi ebatavalist. Me ei leia ühtegi mainimist teise ettevõtte toote – Avira Password Manager kohta.
Vaatame komponenti nimega, mis ei ärata tähelepanu "Avira.PWM.NativeMessaging.exe"? See on kompileeritud .NET platvormi jaoks ja seda ei segata mingil moel, seega laadime selle dnSpysse ja uurime vabalt programmi koodi.
Programm on konsoolprogramm ja see ootab käske standardses sisendvoos. Põhifunktsioon kasutades "Lugenud" loeb voost andmeid, kontrollib vormingut ja edastab käsu funktsioonile "Protsessisõnum" Sama omakorda kontrollib, kas edastatud käsk on "hankige Chrome'i paroolid"või"tõmba mandaadid" (kuigi mis vahet sellel on, kui edasine käitumine on sama?) ja siis algab kõige huvitavam osa - funktsiooni kutsumine "RetrieveBrowserCredentials" See on isegi huvitav... mida saab selle nimega funktsioon teha?
Pole midagi ebatavalist, see lihtsalt kogub ühte loendisse kõik kasutajakontod, mis on salvestatud Interneti-brauseriga "Chrome", "Opera" (põhineb Chromiumil), "Firefox" ja "Edge" (põhineb Chromiumil) ning tagastab andmed JSON-objekt.
Noh, siis kuvab see kogutud andmed konsooli:
Probleemi olemus
- Komponent kogub kasutaja mandaate;
- Komponent ei kontrolli kutsuvat programmi (näiteks selle järgi, kas sellel on tootja enda digitaalallkiri);
- Komponendil on "usaldusväärne" digitaalallkiri ja see ei tekita kahtlust teiste viirusetõrjetarkvara tootjate seas;
- Komponent töötab eraldi rakendusena.
IoC
SHA1: 13c95241e671b98342dba51741fd02621768ecd5.
Selle väljaande jaoks väljastati CVE-2020-12680.
07.04.2020/XNUMX/XNUMX saatsin selle probleemi kohta kirja aadressile: [meiliga kaitstud] и [meiliga kaitstud] täieliku kirjeldusega. Vastuskirju, sealhulgas automaatsüsteemidest, ei tulnud. Kuu aega hiljem levitatakse kirjeldatud komponenti endiselt Avira Free Antivirus distributsioonis.
Allikas: www.habr.com