Итгэмжлэгдсэн тоон гарын үсэг бүхий вирусны эсрэг программ хангамжийн бүрэлдэхүүн хэсгүүдийн нэгнийх нь цорын ганц үүрэг бол алдартай интернет хөтчүүдэд хадгалагдсан бүх итгэмжлэлүүдийг цуглуулах явдал гэдгийг би чамд хэлвэл яах вэ? Тэднийг цуглуулах нь хэний ашиг сонирхолд хамаарах нь түүнд хамаагүй гэж хэлвэл яах вэ? Та намайг төөрөгдүүлсэн гэж бодох байх. Энэ үнэхээр ямар байгааг харцгаая?
Ойлголт
Ийм вирусны эсрэг компани амьдарч, амьдардаг . Мэдээллийн аюулгүй байдалтай холбоотой төрөл бүрийн бүтээгдэхүүн үйлдвэрлэдэг. Гэрийн хэрэглээнд зориулсан үнэ төлбөргүй бүтээгдэхүүн хүртэл байдаг.
Үнэгүй хувилбарыг сонирхож, Германы мэргэжил нэгтнүүдийн бүтээгдэхүүн юу хийж чадахыг харцгаая. Бид интерфэйсийг хардаг - ер бусын зүйл байхгүй. Бид компанийн өөр нэг бүтээгдэхүүн болох Avira Password Manager-ийн талаар дурдаагүй байна.
Анхаарал татахгүй байгаа нэртэй бүрэлдэхүүн хэсгийг харцгаая "Avira.PWM.NativeMessaging.exe"? Энэ нь .NET платформд зориулж эмхэтгэсэн бөгөөд ямар ч байдлаар бүдгэрээгүй тул бид үүнийг dnSpy руу ачаалж, програмын кодыг чөлөөтэй судалдаг.
Хөтөлбөр нь консол програм бөгөөд стандарт оролтын урсгал дахь тушаалуудыг хүлээж байна. "-г ашиглан үндсэн функцУнших" урсгалаас өгөгдлийг уншиж, форматыг шалгаж, командыг функц руу дамжуулдаг "ProcessMessage" Энэ нь эргээд дамжуулсан команд нь " эсэхийг шалгадаг.ChromePasswords авчрах" эсвэл "fetchCredentials"(хэдийгээр цаашдын зан төлөв ижил байвал ямар ялгаа байх вэ?) Тэгээд хамгийн сонирхолтой хэсэг нь функцийг дуудаж эхэлдэг "Хөтөчөөс итгэмжлэл авах" Энэ нь бүр сонирхолтой юм ... ийм нэртэй функц юу хийж чадах вэ?
Энэ нь ер бусын зүйл биш бөгөөд "Chrome", "Opera" (Chromium дээр суурилсан), "Firefox" болон "Edge" (Chromium дээр суурилсан) интернет хөтчүүдтэй ажиллахад хадгалагдсан бүх хэрэглэгчийн бүртгэлийг нэг жагсаалтад цуглуулж, өгөгдлийг буцаана. JSON объект.
За, дараа нь цуглуулсан өгөгдлийг консол дээр харуулна:
Асуудлын мөн чанар
- Бүрэлдэхүүн хэсэг нь хэрэглэгчийн итгэмжлэлийг цуглуулдаг;
- Бүрэлдэхүүн хэсэг нь дуудаж буй програмыг баталгаажуулдаггүй (жишээлбэл, үйлдвэрлэгчийн тоон гарын үсэгтэй эсэх);
- Бүрэлдэхүүн хэсэг нь "итгэмжлэгдсэн" тоон гарын үсэгтэй бөгөөд бусад вирусын эсрэг програм хангамж үйлдвэрлэгчдийн дунд сэжиг төрүүлдэггүй;
- Бүрэлдэхүүн хэсэг нь тусдаа програм хэлбэрээр ажилладаг.
IoC
SHA1: 13c95241e671b98342dba51741fd02621768ecd5.
Энэ асуудалд зориулж CVE-2020-12680 гаргасан.
07.04.2020-нд би энэ асуудлын талаар захидал илгээсэн: [имэйлээр хамгаалагдсан] и [имэйлээр хамгаалагдсан] бүрэн тайлбартай. Автомат системээс ч хариу захидал ирээгүй. Сарын дараа тайлбарласан бүрэлдэхүүн хэсэг нь Avira Free Antivirus түгээлтэд тархсан хэвээр байна.
Эх сурвалж: www.habr.com