Et si je vous disais que la seule fonction de l'un des composants du logiciel antivirus doté d'une signature numérique fiable est de collecter toutes vos informations d'identification stockées dans les navigateurs Internet les plus courants ? Et si je disais que peu importe celui qui a intérêt à les récupérer ? Vous penserez probablement que je fais des illusions. Voyons comment c'est vraiment ?
Trié
Vit et vit une société antivirus telle que
Intéressons-nous à la version gratuite et voyons ce que peut faire le produit de nos confrères allemands. Nous parcourons l'interface - rien d'inhabituel. Nous ne trouvons aucune mention d’un autre produit de la société – Avira Password Manager.
Jetons un coup d'œil au composant dont le nom n'attire pas l'attention "Avira.PWM.NativeMessaging.exe" ? Il est compilé pour la plate-forme .NET et n'est en aucun cas obscurci, nous le chargeons donc dans dnSpy et étudions librement le code du programme.
Le programme est un programme console et il attend des commandes dans le flux d’entrée standard. Fonction principale utilisant "Lire" lit les données du flux, vérifie le format et passe la commande à la fonction "Message de processus" Celui-ci vérifie à son tour que la commande transmise est "récupérer les mots de passe Chrome"Ou"fetchCredentials" (mais quelle différence cela fait-il si le comportement ultérieur est le même ?) et puis la partie la plus intéressante commence - appeler la fonction "Récupérer les informations d'identification du navigateur" C’est même intéressant… que peut faire une fonction portant ce nom ?
Rien d'inhabituel, il rassemble simplement dans une liste tous les comptes d'utilisateurs enregistrés lorsque vous travaillez avec les navigateurs Internet « Chrome », « Opera » (basé sur Chromium), « Firefox » et « Edge » (basé sur Chromium) et renvoie les données sous forme de Objet JSON.
Eh bien, il affiche ensuite les données collectées sur la console :
L'essence du problème
- Le composant collecte les informations d'identification des utilisateurs ;
- Le composant ne vérifie pas le programme appelant (par exemple, s'il possède une signature numérique du fabricant lui-même) ;
- Le composant possède une signature numérique « fiable » et n’éveille pas de soupçons parmi les autres fabricants de logiciels antivirus ;
- Le composant s'exécute comme une application distincte.
IdC
SHA1: 13c95241e671b98342dba51741fd02621768ecd5.
CVE-2020-12680 a été émis pour ce problème.
Le 07.04.2020/XNUMX/XNUMX j'ai envoyé un courrier concernant ce problème à : [email protected] и [email protected] avec descriptif complet. Il n'y a eu aucune lettre de réponse, y compris de la part des systèmes automatiques. Un mois plus tard, le composant décrit est toujours distribué dans la distribution Avira Free Antivirus.
Source: habr.com