Ką daryti, jei pasakyčiau, kad vienintelė vieno iš antivirusinės programinės įrangos komponentų, turinčių patikimą skaitmeninį parašą, funkcija yra rinkti visus jūsų kredencialus, saugomus populiariose interneto naršyklėse? O jei pasakysiu, kad jam nesvarbu, kieno interesai juos rinkti? Tikriausiai pamanysite, kad aš klystu. Pažiūrėkime, kaip yra iš tikrųjų?
Supratimas
Gyvena ir gyvena tokia antivirusinė kompanija kaip . Gamina įvairius su informacijos saugumu susijusius produktus. Yra net nemokamų produktų, skirtų naudoti namuose.
Pasidomėkime nemokama versija ir pažiūrėkime, ką gali mūsų kolegų iš Vokietijos produktas. Žvilgtelime į sąsają – nieko neįprasto. Nerandame jokio paminėjimo apie kitą įmonės produktą – Avira Password Manager.
Pažvelkime į komponentą, kurio pavadinimas nepatraukia dėmesio “Avira.PWM.NativeMessaging.exe"? Jis sukompiliuotas .NET platformai ir jokiu būdu nėra užtemdytas, todėl įkeliame į dnSpy ir laisvai studijuojame programos kodą.
Programa yra konsolinė programa ir ji tikisi komandų standartiniame įvesties sraute. Pagrindinė funkcija naudojant "skaityti" nuskaito duomenis iš srauto, patikrina formatą ir perduoda komanda funkcijai "ProcessMessage“ Tas pats savo ruožtu patikrina, ar perduota komanda yra "gauti „Chrome“ slaptažodžius"arba"gauti kredencialus" (nors koks skirtumas, jei tolesnis elgesys toks pat?) ir tada prasideda įdomiausia dalis - funkcijos iškvietimas "RetrieveBrowserCredentials“ Tai net įdomu... ką gali padaryti funkcija tokiu pavadinimu?
Nieko neįprasto, jis tiesiog surenka visas vartotojų paskyras, išsaugotas dirbant su interneto naršyklėmis „Chrome“, „Opera“ (pagal „Chromium“), „Firefox“ ir „Edge“ (pagal Chromium), į vieną sąrašą ir pateikia duomenis kaip JSON objektas.
Na, tada jis rodo surinktus duomenis į konsolę:
Problemos esmė
- Komponentas renka vartotojo kredencialus;
- Komponentas netikrina skambinančios programos (pavyzdžiui, pagal tai, ar turi paties gamintojo skaitmeninį parašą);
- Komponentas turi „patikimą“ skaitmeninį parašą ir nekelia įtarimų kitiems antivirusinės programinės įrangos gamintojams;
- Komponentas veikia kaip atskira programa.
IoC
SHA1: 13c95241e671b98342dba51741fd02621768ecd5.
Dėl šios problemos buvo išduotas CVE-2020-12680.
07.04.2020-XNUMX-XNUMX išsiunčiau laišką dėl šios problemos adresu: [apsaugotas el. paštu] и [apsaugotas el. paštu] su visu aprašymu. Nebuvo jokių atsakomųjų laiškų, taip pat ir iš automatinių sistemų. Po mėnesio aprašytas komponentas vis dar platinamas „Avira Free Antivirus“ paskirstyme.
Šaltinis: www.habr.com