Ger min ji we re got ku tenê fonksiyona yek ji hêmanên nermalava antivirus ku xwedan îmzeyek dîjîtal a pêbawer e ev e ku hemî pêbaweriyên we yên ku di gerokên Internetnternetê yên populer de hatine hilanîn berhev bike? Ger ez bibêjim ku ji bo wî ne girîng e ku berjewendiya wan berhev bike? Hûn ê guman bifikirin ku ez delal im. Ka em bibînin ka ew bi rastî çawa ye?
Lihevhat
Pargîdaniyek antîvîrusek wusa dijî û dijî
Ka em bi guhertoya belaş eleqedar bibin û bibînin ka hilberê hevkarên me yên Alman dikarin çi bikin. Em li ser navberê mêze dikin - tiştek ne asayî. Em behsa hilberên din ên pargîdaniyê - Rêvebirê Şîfreya Avira-yê nabînin.
Ka em li pêkhateya bi navê ku balê nakişîne binêre"Avira.PWM.NativeMessaging.exe"? Ew ji bo platforma .NET-ê hatî berhev kirin û bi ti awayî nayê qewirandin, ji ber vê yekê em wê bar dikin dnSpy û bi serbestî koda bernameyê dixwînin.
Bername bernameyek konsolê ye û ew li bendê ye ku emrên di pêveka têketina standard de be. Fonksiyona sereke bi karanîna "Xwendin"Daneyên ji çemê dixwîne, formatê kontrol dike û fermanê dide fonksiyonê"ProcessMessage" Heman, di encamê de, kontrol dike ku fermana hatî şandin "fetchChromePasswords"an"fetchCredentials" (her çend çi ferq dike eger tevgera din yek be?) û paşê beşa herî balkêş dest pê dike - bangkirina fonksiyonê "RetrieveBrowserCredentials" Tewra balkêş e... fonksiyonek bi wî navî dikare çi bike?
Tiştek ecêb nîne, ew tenê hemî hesabên bikarhêner ên ku dema bi gerokên Înternetê "Chrome", "Opera" (li ser bingeha Chromium), "Firefox" û "Edge" (li ser Chromium-ê ve girêdayî ye) xebitîne hatine tomar kirin di yek navnîşê de kom dike û daneyan wekî JSON object.
Welê, wê hingê ew daneyên berhevkirî li konsolê destnîşan dike:
Mesela pirsgirêkê
- Beşek pêbaweriyên bikarhêner berhev dike;
- Parçe bernameya bangê verast nake (mînak, ji hêla çêker bixwe ve îmzeyek dîjîtal heye);
- Parçeyek xwedan îmzeyek dîjîtal "pêbawer" e û gumanan di nav hilberînerên nermalava antî-vîrusê yên din de dernakeve;
- Parçeyek wekî serîlêdanek cihêreng dimeşe.
IoC
SHA1: 13c95241e671b98342dba51741fd02621768ecd5.
CVE-2020-12680 ji bo vê pirsgirêkê hate derxistin.
Di 07.04.2020ê Avrêl, XNUMX de, min nameyek li ser vê pirsgirêkê şand: [email parastî] и [email parastî] bi ravekirineke tam. Nameyên bersivê tune bûn, tevî pergalên otomatîk. Mehek şûnda, hêmana diyarkirî hîn jî di belavkirina Avira Free Antivirus de tê belav kirin.
Source: www.habr.com