اگر به شما بگویم که تنها عملکرد یکی از اجزای نرم افزار آنتی ویروس که دارای امضای دیجیتال قابل اعتماد است، جمع آوری تمام اعتبارنامه های ذخیره شده شما در مرورگرهای اینترنتی محبوب است، چه؟ اگر بگویم جمع آوری آنها برای او مهم نیست چه می شود؟ احتمالا فکر می کنید من دچار توهم هستم. بیایید ببینیم واقعا چگونه است؟
درك كردن
زندگی و زندگی می کند مانند یک شرکت آنتی ویروس مانند
بیایید به نسخه رایگان علاقه مند شویم و ببینیم محصول همکاران آلمانی ما چه کاری می توانند انجام دهند. ما به رابط نگاه می کنیم - هیچ چیز غیرعادی نیست. ما هیچ اشاره ای به یکی دیگر از محصولات این شرکت - Avira Password Manager - پیدا نکردیم.
بیایید به مؤلفه ای با نامی که توجه را جلب نمی کند نگاهی بیندازیم.Avira.PWM.NativeMessaging.exe"؟ این برای پلتفرم دات نت کامپایل شده است و به هیچ وجه مبهم نیست، بنابراین ما آن را در dnSpy بارگذاری می کنیم و آزادانه کد برنامه را مطالعه می کنیم.
این برنامه یک برنامه کنسول است و انتظار دستورات را در جریان ورودی استاندارد دارد. تابع اصلی با استفاده از "خواندن"دادهها را از جریان میخواند، قالب را بررسی میکند و دستور را به تابع ارسال میکند."ProcessMessage" همان، به نوبه خود، بررسی می کند که دستور ارسال شده "واکشی ChromePasswords" یا "واکشی اعتبار"(اگرچه چه فرقی می کند اگر رفتار بعدی یکسان باشد؟) و سپس جالب ترین قسمت شروع می شود - فراخوانی تابع "RetrieveBrowserCredentials" حتی جالب است ... تابعی با این نام چه کاری می تواند انجام دهد؟
هیچ چیز غیرعادی نیست، به سادگی تمام حساب های کاربری ذخیره شده هنگام کار با مرورگرهای اینترنت "Chrome"، "Opera" (بر اساس Chromium)، "Firefox" و "Edge" (بر اساس Chromium) را در یک لیست جمع آوری می کند و داده ها را به عنوان یک شی JSON.
خوب، سپس داده های جمع آوری شده را به کنسول نمایش می دهد:
ماهیت مشکل
- مؤلفه اعتبار کاربر را جمع آوری می کند.
- مؤلفه برنامه فراخوانی را تأیید نمی کند (مثلاً با داشتن امضای دیجیتال از طرف سازنده).
- این مؤلفه دارای یک امضای دیجیتال "معتمد" است و باعث ایجاد شک در سایر تولید کنندگان نرم افزار ضد ویروس نمی شود.
- کامپوننت به عنوان یک برنامه جداگانه اجرا می شود.
IoC
SHA1: 13c95241e671b98342dba51741fd02621768ecd5.
CVE-2020-12680 برای این موضوع صادر شد.
در تاریخ 07.04.2020/XNUMX/XNUMX نامه ای در مورد این مشکل به آدرس زیر ارسال کردم: [ایمیل محافظت شده] и [ایمیل محافظت شده] با توضیحات کامل هیچ نامه پاسخی از جمله از سیستم های خودکار وجود نداشت. یک ماه بعد، جزء توصیف شده هنوز در توزیع آنتی ویروس رایگان Avira توزیع می شود.
منبع: www.habr.com