Kā būtu, ja es jums pateiktu, ka viena no pretvīrusu programmatūras komponentiem, kam ir uzticams ciparparaksts, vienīgā funkcija ir apkopot visus jūsu akreditācijas datus, kas saglabāti populārajās interneta pārlūkprogrammās? Ko darīt, ja es saku, ka viņam nav svarīgi, kura interesēs ir tās savākt? Jūs droši vien domāsiet, ka esmu maldīgs. Paskatīsimies, kā ir patiesībā?
Saprašana
Dzīvo un dzīvo tāda antivīrusu kompānija kā . Ražo dažādus ar informācijas drošību saistītus produktus. Ir pat bezmaksas produkti lietošanai mājās.
Ieinteresēsimies par bezmaksas versiju un paskatīsimies, ko spēj mūsu vācu kolēģu produkts. Pārlūkojam saskarni – nekas neparasts. Mēs neatrodam nekādu pieminējumu par citu uzņēmuma produktu - Avira Password Manager.
Apskatīsim komponentu ar nosaukumu, kas nepiesaista uzmanību "Avira.PWM.NativeMessaging.exe"? Tas ir kompilēts .NET platformai un nekādā veidā nav aptumšots, tāpēc mēs to ielādējam dnSpy un brīvi pētām programmas kodu.
Programma ir konsoles programma, un tā sagaida komandas standarta ievades straumē. Galvenā funkcija, izmantojot "Lasīt"nolasa datus no straumes, pārbauda formātu un nodod komandu funkcijai"ProcessMessage" Tas, savukārt, pārbauda, vai nosūtītā komanda ir "atnesiet ChromePasswords"vai"fetchCredentials" (lai gan kāda starpība, ja turpmākā uzvedība ir tāda pati?) un tad sākas interesantākā daļa - funkcijas izsaukšana "RetrieveBrowserCredentials" Tas ir pat interesanti... ko var darīt funkcija ar šādu nosaukumu?
Nekas neparasts, tas vienkārši apkopo vienā sarakstā visus lietotāju kontus, kas saglabāti, strādājot ar interneta pārlūkprogrammām “Chrome”, “Opera” (pamatojoties uz Chromium), “Firefox” un “Edge” (pamatojoties uz Chromium), un atgriež datus kā JSON objekts.
Tad tas parāda apkopotos datus konsolei:
Problēmas būtība
- Komponents apkopo lietotāja akreditācijas datus;
- Komponents nepārbauda izsaucošo programmu (piemēram, pēc tā, vai tai ir paša ražotāja ciparparaksts);
- Komponentam ir “uzticams” ciparparaksts, un tas nerada aizdomas citiem pretvīrusu programmatūras ražotājiem;
- Komponents darbojas kā atsevišķa lietojumprogramma.
IoC
SHA1: 13c95241e671b98342dba51741fd02621768ecd5.
Šim jautājumam tika izdots CVE-2020-12680.
07.04.2020/XNUMX/XNUMX es nosūtīju vēstuli par šo problēmu uz: [e-pasts aizsargāts] и [e-pasts aizsargāts] ar pilnu aprakstu. Atbildes vēstules nebija, arī no automātiskajām sistēmām. Mēnesi vēlāk aprakstītais komponents joprojām tiek izplatīts Avira Free Antivirus izplatīšanā.
Avots: www.habr.com