E se che dixese que a única función dun dos compoñentes do software antivirus que ten unha sinatura dixital de confianza é recoller todas as túas credenciais almacenadas nos navegadores populares de Internet? E se digo que non lle importa a quen ten intereses recollelos? Probablemente pensarás que estou delirante. A ver como é realmente?
Comprensión
Vive e vive unha empresa de antivirus como . Elabora diversos produtos relacionados coa seguridade da información. Incluso hai produtos gratuítos para uso doméstico.
Interesémonos pola versión gratuíta e vexamos o que pode facer o produto dos nosos colegas alemáns. Botamos unha ollada á interface, nada raro. Non atopamos ningunha mención a outro dos produtos da compañía: Avira Password Manager.
Vexamos o compoñente co nome que non chama a atención "Avira.PWM.NativeMessaging.exe"? Está compilado para a plataforma .NET e non está ofuscado de ningún xeito, polo que o cargamos en dnSpy e estudamos libremente o código do programa.
O programa é un programa de consola e espera comandos no fluxo de entrada estándar. Función principal usando "Ler" le datos do fluxo, comproba o formato e pasa o comando á función "Mensaxe de proceso" O mesmo, á súa vez, comproba que o comando transmitido é "buscar contrasinais de Chrome" ou "fetchCredentials" (aínda que que diferenza fai se o comportamento adicional é o mesmo?) e entón comeza a diversión - chamando á función "Recuperar as credenciais do navegador" Incluso é interesante... que pode facer unha función con ese nome?
Nada inusual, simplemente recolle nunha lista todas as contas de usuario gardadas ao traballar cos navegadores de Internet "Chrome", "Opera" (baseado en Chromium), "Firefox" e "Edge" (baseado en Chromium) e devolve os datos como un obxecto JSON.
Ben, entón mostra os datos recollidos na consola:
A esencia do problema
- O compoñente recolle as credenciais do usuario;
- O compoñente non verifica o programa de chamada (por exemplo, se ten unha sinatura dixital do propio fabricante);
- O compoñente ten unha sinatura dixital "de confianza" e non levanta sospeitas entre outros fabricantes de software antivirus;
- O compoñente execútase como unha aplicación separada.
IoC
SHA1: 13c95241e671b98342dba51741fd02621768ecd5.
Emitiuse CVE-2020-12680 para este problema.
O 07.04.2020/XNUMX/XNUMX enviei unha carta sobre este problema a: [protexido por correo electrónico] и [protexido por correo electrónico] cunha descrición completa. Non houbo cartas de resposta, incluso de sistemas automáticos. Un mes despois, o compoñente descrito segue distribuíndose na distribución Avira Free Antivirus.
Fonte: www.habr.com