Mi lenne, ha azt mondanám, hogy a megbízható digitális aláírással rendelkező víruskereső szoftverek egyikének egyetlen funkciója az, hogy összegyűjtse a népszerű internetböngészőkben tárolt összes hitelesítő adatot? Mi van, ha azt mondom, hogy neki mindegy, kinek az érdeke, hogy begyűjtse őket? Valószínűleg azt fogja gondolni, hogy tévhitben vagyok. Lássuk, hogy is van ez valójában?
Megértés
Olyan vírusirtó cég él és él, mint
Érdeklődjünk az ingyenes verzió iránt, és nézzük meg, mire képes német kollégáink terméke. Átnézünk a felületen – semmi szokatlan. Nem találunk említést a cég másik termékéről – az Avira Password Managerről.
Nézzük meg azt az alkatrészt, amelynek a neve nem hívja fel magára a figyelmet"Avira.PWM.NativeMessaging.exe"? .NET platformra van fordítva, és semmilyen módon nincs obfuszkált, ezért betöltjük a dnSpy-be, és szabadon tanulmányozzuk a programkódot.
A program egy konzolprogram, és parancsokat vár a szabványos bemeneti adatfolyamban. Fő funkció a "Olvass" beolvassa az adatokat az adatfolyamból, ellenőrzi a formátumot és átadja a parancsot a függvénynek"ProcessMessage" Ugyanez viszont ellenőrzi, hogy a továbbított parancs a "lekérni a Chrome-jelszavakat"vagy"fetchCredentials" (bár mi a különbség, ha a további viselkedés ugyanaz?) és akkor kezdődik a legérdekesebb rész - a függvény meghívása "RetrieveBrowserCredentials" Még érdekes is... mire képes egy ilyen nevű függvény?
Semmi szokatlan, egyszerűen egy listába gyűjti a „Chrome”, „Opera” (Chromium alapú), „Firefox” és „Edge” (Chromium alapú) internetböngészőkkel végzett munka során mentett összes felhasználói fiókot, és visszaadja az adatokat JSON objektum.
Nos, akkor megjeleníti az összegyűjtött adatokat a konzolon:
A probléma lényege
- Az összetevő összegyűjti a felhasználói hitelesítő adatokat;
- Az összetevő nem ellenőrzi a hívó programot (például azzal, hogy rendelkezik-e digitális aláírással a gyártótól);
- A komponens „megbízható” digitális aláírással rendelkezik, és nem kelt gyanút más vírusirtó szoftvergyártók körében;
- Az összetevő külön alkalmazásként fut.
IoC
SHA1: 13c95241e671b98342dba51741fd02621768ecd5.
Ehhez a problémához a CVE-2020-12680 számú CVE-XNUMX-XNUMX számú dokumentumot adták ki.
07.04.2020-én levelet küldtem a problémáról a következő címre: [e-mail védett] и [e-mail védett] teljes leírással. Nem érkezett válaszlevél, még automatikus rendszerektől sem. Egy hónappal később a leírt komponens még mindig az Avira Free Antivirus disztribúcióban van terjesztve.
Forrás: will.com