Bagaimana jika saya memberi tahu Anda bahwa satu-satunya fungsi salah satu komponen perangkat lunak antivirus yang memiliki tanda tangan digital tepercaya adalah mengumpulkan semua kredensial Anda yang disimpan di browser Internet populer? Bagaimana jika saya mengatakan bahwa tidak masalah baginya siapa yang berkepentingan untuk mengumpulkannya? Anda mungkin akan berpikir saya sedang mengalami delusi. Mari kita lihat bagaimana sebenarnya?
Pemahaman
Hidup dan hidup perusahaan antivirus seperti . Menghasilkan berbagai produk yang berkaitan dengan keamanan informasi. Bahkan ada produk gratis untuk digunakan di rumah.
Mari tertarik dengan versi gratisnya dan lihat apa yang dapat dilakukan oleh produk rekan kami di Jerman. Kami melihat sekilas antarmukanya - tidak ada yang aneh. Kami tidak menemukan penyebutan produk perusahaan lainnya β Avira Password Manager.
Coba kita lihat komponen yang namanya kurang menarik perhatianβAvira.PWM.NativeMessaging.exe"? Ini dikompilasi untuk platform .NET dan tidak dikaburkan dengan cara apa pun, jadi kami memuatnya ke dnSpy dan mempelajari kode program dengan bebas.
Program ini adalah program konsol dan mengharapkan perintah dalam aliran input standar. Fungsi utama menggunakan "Baca" membaca data dari aliran, memeriksa format dan meneruskan perintah ke fungsi "Pesan Proses" Hal yang sama, pada gilirannya, memeriksa apakah perintah yang dikirimkan adalah "ambilChromePasswords" atau "mengambil Kredensial" (walaupun apa bedanya jika perilaku selanjutnya sama?) dan kemudian bagian yang paling menarik dimulai - memanggil fungsi "Ambil Kredensial Peramban" Menariknya lagi... apa yang bisa dilakukan fungsi dengan nama itu?
Bukan hal yang aneh, ini hanya mengumpulkan ke dalam satu daftar semua akun pengguna yang disimpan saat bekerja dengan browser Internet "Chrome", "Opera" (berdasarkan Chromium), "Firefox" dan "Edge" (berdasarkan Chromium) dan mengembalikan data sebagai objek JSON.
Lalu ia menampilkan data yang dikumpulkan ke konsol:
Inti masalahnya
- Komponen mengumpulkan kredensial pengguna;
- Komponen tidak memverifikasi program pemanggil (misalnya, apakah program tersebut memiliki tanda tangan digital dari pabrikan itu sendiri);
- Komponen tersebut memiliki tanda tangan digital yang βtepercayaβ dan tidak menimbulkan kecurigaan di antara produsen perangkat lunak anti-virus lainnya;
- Komponen berjalan sebagai aplikasi terpisah.
IoC
SHA1: 13c95241e671b98342dba51741fd02621768ecd5.
CVE-2020-12680 dikeluarkan untuk masalah ini.
Pada tanggal 07.04.2020/XNUMX/XNUMX saya mengirimkan surat mengenai masalah ini ke : [email dilindungi] ΠΈ [email dilindungi] dengan deskripsi lengkap. Tidak ada surat tanggapan, termasuk dari sistem otomatis. Sebulan kemudian, komponen yang dijelaskan masih didistribusikan di distribusi Avira Free Antivirus.
Sumber: www.habr.com