Avira Free Antivirus 바이러스 백신 소프트웨어의 비밀번호 도용자

신뢰할 수 있는 디지털 서명이 있는 바이러스 백신 소프트웨어 구성 요소 중 하나의 유일한 기능은 널리 사용되는 인터넷 브라우저에 저장된 모든 자격 증명을 수집하는 것이라고 말하면 어떻게 될까요? 그것을 수집하는 것이 누구의 이익인지는 그 사람에게는 중요하지 않다고 말하면 어떻게 될까요? 당신은 아마도 내가 망상이라고 생각할 것입니다. 실제로 어떤지 볼까요?

정리하다

다음과 같은 바이러스 백신 회사에 살고 있습니다. Avira GmbH & Co. 킬로그램. 정보보안과 관련된 다양한 제품을 생산하고 있습니다. 가정용으로 사용할 수 있는 무료 제품도 있습니다.

무료 버전에 관심을 갖고 독일 동료들의 제품이 무엇을 할 수 있는지 살펴보겠습니다. 인터페이스를 살펴보니 특이한 점은 없습니다. 회사의 다른 제품인 Avira Password Manager에 대한 언급은 없습니다.

눈에 띄지 않는 이름의 구성 요소를 살펴 보겠습니다.”Avira.PWM.NativeMessaging.exe"? .NET 플랫폼용으로 컴파일되었으며 어떠한 방식으로든 난독화되지 않았으므로 dnSpy에 로드하여 프로그램 코드를 자유롭게 연구합니다.

이 프로그램은 콘솔 프로그램이며 표준 입력 스트림의 명령을 기대합니다. "를 이용한 주요 기능읽기" 스트림에서 데이터를 읽고 형식을 확인한 후 명령을 함수에 전달합니다."프로세스 메시지" 마찬가지로 전송된 명령이 "Chrome 비밀번호 가져오기"또는"자격 증명 가져오기" (추가 동작이 동일하다면 어떤 차이가 있습니까?) 그런 다음 가장 흥미로운 부분이 시작됩니다. 함수 호출 "브라우저 자격 증명 검색" 심지어 흥미롭습니다... 그 이름을 가진 함수는 무엇을 할 수 있나요?

특이한 점은 없습니다. 인터넷 브라우저 "Chrome", "Opera"(Chromium 기반), "Firefox" 및 "Edge"(Chromium 기반)로 작업할 때 저장된 모든 사용자 계정을 하나의 목록으로 수집하고 해당 데이터를 JSON 객체.

그러면 수집된 데이터가 콘솔에 표시됩니다.

문제의 본질

• 구성 요소는 사용자 자격 증명을 수집합니다.
• 구성 요소는 호출 프로그램을 확인하지 않습니다(예: 제조업체 자체의 디지털 서명이 있는지 여부).
• 이 구성 요소는 "신뢰할 수 있는" 디지털 서명을 갖고 있으며 다른 바이러스 백신 소프트웨어 제조업체 사이에서 의심을 일으키지 않습니다.
• 구성 요소는 별도의 응용 프로그램으로 실행됩니다.

IOC

SHA1: 13c95241e671b98342dba51741fd02621768ecd5.

이 문제와 관련하여 CVE-2020-12680이 발행되었습니다.

07.04.2020년 XNUMX월 XNUMX일에 나는 이 문제에 대해 다음 주소로 편지를 보냈습니다. [이메일 보호] и [이메일 보호] 전체 설명과 함께. 자동 시스템을 포함하여 응답 편지가 없었습니다. 한 달 후에도 설명된 구성 요소는 여전히 Avira Free Antivirus 배포판에 배포됩니다.

출처 : habr.com