Zer esango banu, sinadura digital fidagarria duen birusen aurkako software osagaietako baten funtzio bakarra Interneteko arakatzaile ezagunetan gordetako zure kredentzial guztiak biltzea dela? Zer gertatzen da esaten badiot ez zaiola axola noren interesak biltzea? Seguruenik, eldarnioa naizela pentsatuko duzu. Ea nola dagoen benetan?
Ulermena
Horrelako birusen aurkako enpresa bat bizi eta bizi da
Interesatu gaitezen doako bertsioan eta ikus dezagun zer egin dezakeen gure lankide alemanen produktuak. Interfazeari begiratzen diogu - ez da arraroa. Ez dugu konpainiaren beste produktu baten aipamenik aurkitzen - Avira Password Manager.
Ikus dezagun arreta erakartzen ez duen izena duen osagaiari βAvira.PWM.NativeMessaging.exe"? .NET plataformarako konpilatuta dago eta ez dago inola ere lausotuta, beraz dnSpy-n kargatzen dugu eta programaren kodea libreki aztertzen dugu.
Programa kontsola programa bat da eta komandoak espero ditu sarrerako korronte estandarrean. Funtzio nagusia " erabilizIrakurketak:" korronteko datuak irakurtzen ditu, formatua egiaztatzen du eta komandoa funtzioari pasatzen dio "ProzesuMezua" Berak, aldi berean, igorritako komandoa "" dela egiaztatzen dueskuratuChromePasswords"edo"eskuratuCredentials"(nahiz eta zer alde egiten du portaera gehiago berdina bada?) eta orduan hasten da zatirik interesgarriena - funtzioari deitzea "Berreskuratu Arakatzailearen kredentzialak" Interesgarria ere bada... zer egin dezake izen hori duen funtzio batek?
Ez da ezer arraroa, "Chrome", "Opera" (Chromium-en oinarritutako), "Firefox" eta "Edge" (Chromium-en oinarritutako) nabigatzaileekin lan egitean gordetako erabiltzaile-kontu guztiak zerrenda batean biltzen ditu eta datuak gisa itzultzen ditu. JSON objektua.
Beno, orduan bildutako datuak bistaratzen ditu kontsolan:
Arazoaren funtsa
- Osagaiak erabiltzailearen kredentzialak biltzen ditu;
- Osagaiak ez du egiaztatzen deitzen duen programa (adibidez, fabrikatzailearen beraren sinadura digitala duen ala ez);
- Osagaiak sinadura digital βkonfiagarriaβ du eta ez du susmorik sortzen birusen aurkako software fabrikatzaileen artean;
- Osagaia aparteko aplikazio gisa exekutatzen da.
IoC
SHA1: 13c95241e671b98342dba51741fd02621768ecd5.
CVE-2020-12680 igorri zen arazo honetarako.
07.04.2020/XNUMX/XNUMXan gutun bat bidali nuen arazo honi buruz: [posta elektroniko bidez babestua] ΠΈ [posta elektroniko bidez babestua] deskribapen osoarekin. Ez zegoen erantzun gutunik, sistema automatikoenak barne. Hilabete geroago, deskribatutako osagaia Avira Free Antivirus banaketan banatzen da oraindik.
Iturria: www.habr.com