Entä jos kertoisin sinulle, että yhden virustorjuntaohjelmistokomponentin, jolla on luotettava digitaalinen allekirjoitus, ainoa tehtävä on kerätä kaikki suosittuihin Internet-selaimiin tallennetut tunnistetiedot? Entä jos sanon, ettei hänelle ole väliä, kenen intressien kerääminen on? Luultavasti luulet, että olen harhaanjohtava. Katsotaan kuinka asia oikeasti on?
Ymmärtäminen
Asuu ja asuu sellainen virustorjuntayritys kuin . Tuottaa erilaisia tietoturvaan liittyviä tuotteita. Tarjolla on jopa ilmaisia tuotteita kotikäyttöön.
Kiinnostutaan ilmaisesta versiosta ja katsotaan mitä saksalaisten kollegojemme tuote voi tehdä. Vilkaisemme käyttöliittymää - ei mitään epätavallista. Emme löydä mitään mainintaa toisesta yrityksen tuotteista - Avira Password Managerista.
Katsotaanpa komponenttia, jonka nimi ei herätä huomiota "Avira.PWM.NativeMessaging.exe"? Se on käännetty .NET-alustalle, eikä sitä ole hämärtynyt millään tavalla, joten lataamme sen dnSpyyn ja tutkimme vapaasti ohjelmakoodia.
Ohjelma on konsoliohjelma ja se odottaa komentoja tavallisessa syöttövirrassa. Päätoiminto käyttämällä "Lue"lukee dataa virrasta, tarkistaa muodon ja välittää komennon funktiolle"ProcessMessage" Sama puolestaan tarkistaa, että lähetetty komento on "hae Chrome-salasanat"tai"hae valtuustiedot" (vaikka mitä eroa sillä on, jos jatkokäyttäytyminen on sama?) ja sitten alkaa mielenkiintoisin osa - funktion kutsuminen"RetrieveBrowserCredentials" Se on jopa mielenkiintoista... mitä tuonniminen funktio voi tehdä?
Ei mitään epätavallista, se yksinkertaisesti kerää yhteen luetteloon kaikki käyttäjätilit, jotka on tallennettu työskennellessäsi Internet-selaimilla "Chrome", "Opera" (perustuu Chromiumiin), "Firefox" ja "Edge" (perustuu Chromiumiin) ja palauttaa tiedot JSON-objekti.
Sitten se näyttää kerätyt tiedot konsoliin:
Ongelman ydin
- Komponentti kerää käyttäjän tunnistetiedot;
- Komponentti ei tarkista kutsuvaa ohjelmaa (esimerkiksi sillä, onko sillä itse valmistajan digitaalinen allekirjoitus);
- Komponentilla on "luotettu" digitaalinen allekirjoitus, eikä se herätä epäilyksiä muiden virustorjuntaohjelmistojen valmistajien keskuudessa;
- Komponentti toimii erillisenä sovelluksena.
IoC
SHA1: 13c95241e671b98342dba51741fd02621768ecd5.
CVE-2020-12680 on julkaistu tätä ongelmaa varten.
Lähetin 07.04.2020 tätä ongelmaa koskevan kirjeen osoitteeseen: [sähköposti suojattu] и [sähköposti suojattu] täydellisellä kuvauksella. Vastauskirjeitä ei tullut, ei myöskään automaattisista järjestelmistä. Kuukautta myöhemmin kuvattu komponentti on edelleen jaettu Avira Free Antivirus -jakelussa.
Lähde: will.com