Bagaimana jika saya memberitahu anda bahawa satu-satunya fungsi salah satu komponen perisian antivirus yang mempunyai tandatangan digital yang dipercayai adalah untuk mengumpul semua bukti kelayakan anda yang disimpan dalam pelayar Internet yang popular? Bagaimana jika saya katakan bahawa tidak penting bagi dia yang berminat untuk mengumpulnya? Anda mungkin akan fikir saya berkhayal. Jom tengok macam mana sebenarnya?
Kefahaman
Hidup dan hidup seperti syarikat antivirus seperti
Mari kita berminat dengan versi percuma dan lihat apa yang boleh dilakukan oleh produk rakan sekerja Jerman kami. Kami melihat ke atas antara muka - tiada yang luar biasa. Kami tidak menemui sebarang sebutan mengenai produk syarikat yang lain β Pengurus Kata Laluan Avira.
Mari kita lihat komponen dengan nama yang tidak menarik perhatian "Avira.PWM.NativeMessaging.exe"? Ia disusun untuk platform .NET dan tidak dikaburkan dalam apa jua cara, jadi kami memuatkannya ke dalam dnSpy dan mempelajari kod program secara bebas.
Program ini ialah program konsol dan ia menjangkakan arahan dalam aliran input standard. Fungsi utama menggunakan "Baca" membaca data daripada strim, menyemak format dan menghantar arahan kepada fungsi "ProcessMessage" Perkara yang sama, seterusnya, menyemak bahawa arahan yang dihantar ialah "fetchChromePasswords"atau"fetchCredentials" (walaupun apakah perbezaannya jika tingkah laku selanjutnya adalah sama?) dan kemudian bahagian yang paling menarik bermula - memanggil fungsi "RetrieveBrowserCredentials" Malah menarik... apakah fungsi yang boleh dilakukan dengan nama itu?
Tiada apa-apa yang luar biasa, ia hanya mengumpulkan ke dalam satu senarai semua akaun pengguna yang disimpan apabila bekerja dengan penyemak imbas Internet "Chrome", "Opera" (berdasarkan Chromium), "Firefox" dan "Edge" (berdasarkan Chromium) dan mengembalikan data sebagai objek JSON.
Nah, kemudian ia memaparkan data yang dikumpul ke konsol:
Intipati masalah
- Komponen mengumpul kelayakan pengguna;
- Komponen tidak mengesahkan program panggilan (contohnya, sama ada ia mempunyai tandatangan digital daripada pengilang itu sendiri);
- Komponen tersebut mempunyai tandatangan digital yang "dipercayai" dan tidak menimbulkan syak wasangka di kalangan pengeluar perisian anti-virus lain;
- Komponen berjalan sebagai aplikasi berasingan.
IoC
SHA1: 13c95241e671b98342dba51741fd02621768ecd5.
CVE-2020-12680 telah dikeluarkan untuk isu ini.
Pada 07.04.2020/XNUMX/XNUMX saya telah menghantar surat mengenai masalah ini kepada: [e-mel dilindungi] ΠΈ [e-mel dilindungi] dengan penerangan penuh. Tiada surat jawapan, termasuk daripada sistem automatik. Sebulan kemudian, komponen yang diterangkan masih diedarkan dalam pengedaran Antivirus Percuma Avira.
Sumber: www.habr.com