Apa yen aku ngandhani yen mung fungsi salah sawijining komponen piranti lunak antivirus sing duwe teken digital sing dipercaya yaiku kanggo ngumpulake kabeh kredensial sampeyan sing disimpen ing browser Internet populer? Apa yen aku ngomong sing ora Matter kanggo wong kang kapentingan iku kanggo ngumpulake? Sampeyan mbokmenawa bakal mikir aku delusional. Ayo ndeleng kepiye sejatine?
Pangerten
Urip lan urip perusahaan antivirus kaya
Ayo dadi kasengsem ing versi gratis lan ndeleng apa sing bisa ditindakake dening rekan kerja Jerman. Kita ndeleng antarmuka - ora ana sing ora biasa. Kita ora nemokake sebutno produk perusahaan liyane - Manajer Sandi Avira.
Ayo goleki komponen kanthi jeneng sing ora narik kawigaten "Avira.PWM.NativeMessaging.exe"? Iku nyawiji kanggo platform .NET lan ora obfuscated ing sembarang cara, supaya kita mbukak menyang dnSpy lan bebas sinau kode program.
Program kasebut minangka program konsol lan ngarepake prentah ing aliran input standar. Fungsi utama nggunakake "Baca"maca data saka stream, mriksa format lan pass printah kanggo fungsi "Pesen Proses" Kajaba iku, priksa manawa printah sing dikirim yaiku "fetchChromePasswords"utawa"fetchCredentials" (sanajan apa bedane yen prilaku luwih padha?) banjur bagean sing paling menarik diwiwiti - nelpon fungsi "RetrieveBrowserCredentials" Malah menarik ... apa sing bisa ditindakake kanthi jeneng kasebut?
Ora ana sing aneh, mung ngumpulake kabeh akun pangguna sing disimpen nalika nggarap browser Internet "Chrome", "Opera" (adhedhasar Chromium), "Firefox" lan "Edge" (adhedhasar Chromium) lan ngasilake data minangka obyek JSON.
Inggih, banjur nampilake data sing diklumpukake menyang konsol:
Intine masalah kasebut
- Komponen ngumpulake kredensial pangguna;
- Komponen kasebut ora verifikasi program panggilan (contone, manawa ana tandha digital saka pabrikan dhewe);
- Komponen kasebut nduweni teken digital "dipercaya" lan ora nyebabake rasa curiga ing antarane produsen piranti lunak anti-virus liyane;
- Komponen kasebut mlaku minangka aplikasi sing kapisah.
IoC
SHA1: 13c95241e671b98342dba51741fd02621768ecd5.
CVE-2020-12680 ditanggepi kanggo masalah iki.
Ing 07.04.2020/XNUMX/XNUMX aku ngirim layang babagan masalah iki kanggo: [email dilindhungi] ΠΈ [email dilindhungi] kanthi katrangan lengkap. Ora ana layang tanggapan, kalebu saka sistem otomatis. Sewulan mengko, komponen sing diterangake isih disebarake ing distribusi Avira Free Antivirus.
Source: www.habr.com