Ի՞նչ կլիներ, եթե ես ձեզ ասեի, որ հակավիրուսային ծրագրաշարի բաղադրիչներից մեկի միակ գործառույթը, որն ունի վստահելի թվային ստորագրություն, հանրաճանաչ ինտերնետ բրաուզերներում պահված ձեր բոլոր հավատարմագրերը հավաքելն է: Իսկ եթե ես ասեմ, որ նրա համար նշանակություն չունի, թե ում շահն է դրանք հավաքել: Դուք հավանաբար կմտածեք, որ ես մոլորության մեջ եմ: Տեսնենք, թե իրականում ինչպես է:
Հասկանալով
Ապրում և ապրում է այնպիսի հակավիրուսային ընկերություն, ինչպիսին
Եկեք հետաքրքրվենք անվճար տարբերակով և տեսնենք, թե ինչ կարող է անել մեր գերմանացի գործընկերների արտադրանքը։ Մենք նայում ենք միջերեսին՝ ոչ մի արտասովոր բան: Մենք չենք գտնում ընկերության մեկ այլ արտադրանքի՝ Avira Password Manager-ի մասին հիշատակում:
Եկեք նայենք այն բաղադրիչին, որն ունի ուշադրություն չգրավող անունով»Avira.PWM.NativeMessaging.exe«? Այն կազմված է .NET պլատֆորմի համար և ոչ մի կերպ մշուշոտված չէ, ուստի մենք այն բեռնում ենք dnSpy-ում և ազատորեն ուսումնասիրում ծրագրի կոդը։
Ծրագիրը կոնսոլային ծրագիր է և այն ակնկալում է հրամաններ ստանդարտ մուտքային հոսքում: Հիմնական գործառույթը օգտագործելով «կարդալ«Կարդում է տվյալները հոսքից, ստուգում է ձևաչափը և հրամանը փոխանցում գործառույթին»Գործընթացի հաղորդագրություն« Նույնը, իր հերթին, ստուգում է, որ փոխանցված հրամանը «fetchChromePasswords" կամ "fetchCredentials«(թեև ի՞նչ տարբերություն, եթե հետագա վարքագիծը նույնն է) և հետո սկսվում է ամենահետաքրքիր մասը՝ ֆունկցիան կանչելը»:RetrieveBrowserCredentials« Նույնիսկ հետաքրքիր է... ի՞նչ կարող է անել այդ անունով ֆունկցիան:
Ոչ մի արտասովոր բան, այն պարզապես հավաքում է մեկ ցուցակի մեջ բոլոր օգտատերերի հաշիվները, որոնք պահպանվել են «Chrome», «Opera» (հիմնված Chromium), «Firefox» և «Edge» (Chromium-ի վրա հիմնված) բրաուզերների հետ աշխատելիս և վերադարձնում տվյալները որպես JSON օբյեկտ:
Դե, ապա այն ցուցադրում է հավաքագրված տվյալները վահանակին.
Խնդիրի էությունը
- Բաղադրիչը հավաքում է օգտագործողի հավատարմագրերը.
- Բաղադրիչը չի ստուգում կանչող ծրագիրը (օրինակ՝ արդյոք այն ունի թվային ստորագրություն հենց արտադրողի կողմից);
- Բաղադրիչն ունի «վստահելի» թվային ստորագրություն և կասկած չի հարուցում հակավիրուսային ծրագրերի այլ արտադրողների շրջանում.
- Բաղադրիչն աշխատում է որպես առանձին հավելված:
IoC
SHA1: 13c95241e671b98342dba51741fd02621768ecd5.
Այս թողարկման համար թողարկվել է CVE-2020-12680:
07.04.2020/XNUMX/XNUMX-ին ես նամակ եմ ուղարկել այս խնդրի վերաբերյալ հետևյալ հասցեով. [էլեկտրոնային փոստով պաշտպանված] и [էլեկտրոնային փոստով պաշտպանված] ամբողջական նկարագրությամբ։ Պատասխան նամակներ չեն եղել, այդ թվում՝ ավտոմատ համակարգերից։ Մեկ ամիս անց նկարագրված բաղադրիչը դեռևս տարածվում է Avira Free Antivirus բաշխման մեջ:
Source: www.habr.com