E se ti dicessi che l'unica funzione di uno dei componenti del software antivirus dotato di firma digitale affidabile Γ¨ quella di raccogliere tutte le tue credenziali archiviate nei browser Internet piΓΉ diffusi? E se dicessi che a lui non importa di chi Γ¨ l'interesse raccoglierli? Probabilmente penserai che sono delirante. Vediamo come sta davvero?
Capiamo
Vive e vive un'azienda antivirus come
Interessiamoci alla versione gratuita e vediamo cosa puΓ² fare il prodotto dei nostri colleghi tedeschi. Diamo un'occhiata all'interfaccia: niente di insolito. Non troviamo alcuna menzione di un altro prodotto dell'azienda: Avira Password Manager.
Diamo unβocchiata al componente dal nome che non attira lβattenzioneβAvira.PWM.NativeMessaging.exe"? Γ compilato per la piattaforma .NET e non Γ¨ offuscato in alcun modo, quindi lo carichiamo in dnSpy e studiamo liberamente il codice del programma.
Il programma Γ¨ un programma console e prevede comandi nel flusso di input standard. Funzione principale utilizzando "Leggi" legge i dati dallo stream, controlla il formato e passa il comando alla funzione "ProcessMessage" Lo stesso, a sua volta, verifica che il comando trasmesso sia "recuperare le password di Chrome"O"fetchCredentials" (anche se che differenza fa se il comportamento successivo Γ¨ lo stesso?) e poi inizia la parte piΓΉ interessante: chiamare la funzione "Recupera credenziali del browser" Γ anche interessante... cosa puΓ² fare una funzione con quel nome?
Niente di insolito, raccoglie semplicemente in un elenco tutti gli account utente salvati quando si lavora con i browser Internet "Chrome", "Opera" (basato su Chromium), "Firefox" e "Edge" (basato su Chromium) e restituisce i dati come file Oggetto JSON.
Bene, allora visualizza i dati raccolti sulla console:
L'essenza del problema
- Il componente raccoglie le credenziali dell'utente;
- Il componente non verifica il programma chiamante (ad esempio, se ha una firma digitale del produttore stesso);
- Il componente ha una firma digitale "attendibile" e non desta sospetti tra gli altri produttori di software antivirus;
- Il componente viene eseguito come un'applicazione separata.
CIO
SHA1: 13c95241e671b98342dba51741fd02621768ecd5.
Per questo problema Γ¨ stato rilasciato CVE-2020-12680.
Il 07.04.2020/XNUMX/XNUMX ho inviato una lettera in merito a questo problema a: [email protected] ΠΈ [email protected] con descrizione completa. Non ci sono state lettere di risposta, nemmeno da parte di sistemi automatici. Un mese dopo, il componente descritto Γ¨ ancora distribuito nella distribuzione Avira Free Antivirus.
Fonte: habr.com