信頼されたデジタル署名を持つウイルス対策ソフトウェア コンポーネントの XNUMX つの唯一の機能は、一般的なインターネット ブラウザに保存されているすべての資格情報を収集することであると言ったらどうなるでしょうか? それらを収集することが興味のある彼にとっては関係ないと言ったらどうなるでしょうか? おそらく私が妄想していると思われるでしょう。 実際はどうなのか見てみましょう?
並べ替え
ウイルス対策会社として生き続けています 。 情報セキュリティに関わる様々な製品をプロデュース。 家庭用の無料製品もあります。
無料版に興味を持って、ドイツの同僚の製品で何ができるかを見てみましょう。 インターフェイスに目を通しますが、何も異常はありません。 同社の別の製品である Avira Password Manager についての言及は見つかりません。
あまり目立たない名前のコンポーネントを見てみましょう。Avira.PWM.NativeMessaging.exe「? これは .NET プラットフォーム用にコンパイルされており、難読化されていないため、dnSpy にロードしてプログラム コードを自由に研究できます。
このプログラムはコンソール プログラムであり、標準入力ストリーム内のコマンドを予期します。 「」を使用したメイン関数読む" ストリームからデータを読み取り、形式をチェックしてコマンドを関数に渡します。"プロセスメッセージ」 同様に、送信されたコマンドが「Chromeパスワードを取得する「または」fetch資格情報" (ただし、その後の動作が同じであれば、どのような違いが生じるのでしょうか?) そして、最も興味深い部分が始まります。関数の呼び出しです。"ブラウザ認証情報の取得」 それはさらに興味深いことです...その名前の関数は何ができるのでしょうか?
何も珍しいことではありません。単に、インターネット ブラウザ「Chrome」、「Opera」(Chromium ベース)、「Firefox」、「Edge」(Chromium ベース)で作業するときに保存されたすべてのユーザー アカウントを XNUMX つのリストに収集し、データをJSON オブジェクト。
次に、収集されたデータがコンソールに表示されます。
問題の本質
- このコンポーネントはユーザーの資格情報を収集します。
- コンポーネントは呼び出しプログラムを検証しません (たとえば、製造元自体からのデジタル署名があるかどうかなど)。
- このコンポーネントには「信頼できる」デジタル署名があり、他のウイルス対策ソフトウェア メーカーの間で疑惑を引き起こすことはありません。
- コンポーネントは別のアプリケーションとして実行されます。
IoC
SHA1: 13c95241e671b98342dba51741fd02621768ecd5.
この問題に対して CVE-2020-12680 が発行されました。
07.04.2020 年 XNUMX 月 XNUMX 日に、私はこの問題について次の宛先に手紙を送りました。 [メール保護] и [メール保護] 完全な説明付き。 自動システムからのものも含め、返答の手紙はありませんでした。 XNUMX か月後、説明されたコンポーネントは依然として Avira Free Antivirus ディストリビューションで配布されています。
出所: habr.com