Što ako vam kažem da je jedina funkcija jedne od komponenti antivirusnog softvera koja ima pouzdani digitalni potpis prikupljanje svih vaših vjerodajnica pohranjenih u popularnim internetskim preglednicima? Što ako kažem da mu je svejedno u čijem je interesu da ih skuplja? Vjerojatno ćete misliti da se varam. Da vidimo kako je stvarno?
Razumijevanje
Živi i živi takva antivirusna tvrtka kao . Proizvodi razne proizvode vezane uz informacijsku sigurnost. Postoje čak i besplatni proizvodi za kućnu upotrebu.
Hajdemo se zainteresirati za besplatnu verziju i vidjeti što može proizvod naših njemačkih kolega. Pogledom prelazimo preko sučelja - ništa neobično. Ne nalazimo nikakav spomen drugog proizvoda tvrtke – Avira Password Manager.
Pogledajmo komponentu s nazivom koji ne privlači pozornost "Avira.PWM.NativeMessaging.exe"? Kompajliran je za .NET platformu i nije ni na koji način zamagljen pa ga učitavamo u dnSpy i slobodno proučavamo programski kod.
Program je konzolni program i očekuje naredbe u standardnom ulaznom toku. Glavna funkcija pomoću "Čitaj" čita podatke iz toka, provjerava format i prosljeđuje naredbu funkciji "ProcessMessage" Isti pak provjerava je li poslana naredba "dohvati zaporke za Chrome" ili "dohvati vjerodajnice" (iako kakve veze ima ako je daljnje ponašanje isto?) i onda počinje najzanimljiviji dio - pozivanje funkcije "RetrieveBrowserCredentials" Čak je zanimljivo... što može funkcija s tim imenom?
Ništa neobično, jednostavno skuplja u jedan popis sve korisničke račune spremljene pri radu s internetskim preglednicima „Chrome“, „Opera“ (temeljen na Chromiumu), „Firefox“ i „Edge“ (temeljen na Chromiumu) i vraća podatke kao JSON objekt.
Pa, onda prikazuje prikupljene podatke na konzoli:
Bit problema
- Komponenta prikuplja korisničke vjerodajnice;
- Komponenta ne provjerava pozivni program (primjerice ima li digitalni potpis samog proizvođača);
- Komponenta ima "pouzdani" digitalni potpis i ne izaziva sumnju kod drugih proizvođača antivirusnog softvera;
- Komponenta radi kao zasebna aplikacija.
IoC
SHA1: 13c95241e671b98342dba51741fd02621768ecd5.
CVE-2020-12680 izdan je za ovaj problem.
Dana 07.04.2020. poslao sam pismo o ovom problemu na: [e-pošta zaštićena] и [e-pošta zaštićena] s punim opisom. Nije bilo odgovora, uključujući i automatske sustave. Mjesec dana kasnije, opisana komponenta se još uvijek distribuira u Avira Free Antivirus distribuciji.
Izvor: www.habr.com