Hvað ef ég segði þér að eina hlutverk eins af vírusvarnarhugbúnaðarhlutunum sem hefur trausta stafræna undirskrift er að safna öllum skilríkjum þínum sem eru geymd í vinsælum netvöfrum? Hvað ef ég segi að það skipti ekki máli hvers hagsmuna það er að safna þeim? Þú munt líklega halda að ég sé blekking. Við skulum sjá hvernig það er í raun og veru?
Skilningur
Býr og lifir svo vírusvarnarfyrirtæki sem . Framleiðir ýmsar vörur sem tengjast upplýsingaöryggi. Það eru meira að segja ókeypis vörur til heimanotkunar.
Við skulum fá áhuga á ókeypis útgáfunni og sjá hvað afurð þýskra kollega okkar getur gert. Við lítum yfir viðmótið - ekkert óvenjulegt. Við finnum ekkert minnst á aðra af vörum fyrirtækisins - Avira lykilorðastjóri.
Við skulum kíkja á íhlutinn með nafninu sem vekur ekki athygli "Avira.PWM.NativeMessaging.exe"? Það er safnað saman fyrir .NET vettvanginn og er ekki skyggt á nokkurn hátt, svo við hleðum því inn í dnSpy og lærum frjálslega forritskóðann.
Forritið er stjórnborðsforrit og það gerir ráð fyrir skipunum í venjulegu inntaksstraumi. Aðalaðgerð með því að nota "Lesa" les gögn úr straumnum, athugar sniðið og sendir skipunina í aðgerðina "ProcessMessage" Það sama, aftur á móti, athugar að send skipunin sé "sækjaChromePasswords"eða"sækja skilríki" (þó hvaða munur skipti það ef frekari hegðun er sú sama?) og þá byrjar áhugaverðasti hlutinn - að kalla fallið "Sæktu vafraupplýsingar" Það er meira að segja áhugavert... hvað getur fall með því nafni gert?
Ekkert óvenjulegt, það safnar einfaldlega öllum notendareikningum sem eru vistaðir á einn lista þegar unnið er með netvafranum „Chromium“, „Opera“ (byggt á Chromium), „Firefox“ og „Edge“ (byggt á Chromium) og skilar gögnunum sem JSON hlutur.
Jæja, þá sýnir það safnað gögn á stjórnborðinu:
Kjarni vandamálsins
- Íhluturinn safnar notendaskilríkjum;
- Íhluturinn staðfestir ekki hringingarforritið (til dæmis með því hvort það sé með stafræna undirskrift frá framleiðanda sjálfum);
- Íhluturinn hefur „traust“ stafræna undirskrift og vekur ekki grunsemdir hjá öðrum framleiðendum vírusvarnarhugbúnaðar;
- Íhluturinn keyrir sem sérstakt forrit.
IoC
SHA1: 13c95241e671b98342dba51741fd02621768ecd5.
CVE-2020-12680 var gefið út fyrir þetta mál.
Þann 07.04.2020/XNUMX/XNUMX sendi ég bréf um þetta vandamál til: [netvarið] и [netvarið] með fullri lýsingu. Engin svarbréf bárust, þar á meðal frá sjálfvirkum kerfum. Mánuði síðar er íhluturinn sem lýst er enn dreift í Avira Free Antivirus dreifingunni.
Heimild: www.habr.com