X'jiġri jekk ngħidlek li l-unika funzjoni ta 'wieħed mill-komponenti tas-softwer antivirus li għandu firma diġitali fdata hija li tiġbor il-kredenzjali kollha tiegħek maħżuna fil-browsers tal-Internet popolari? X'jiġri jekk ngħid li ma jimpurtax lilu l-interessi ta' min hu li jiġborhom? Probabbilment taħseb li jien delużjonali. Ejja naraw kif tassew hi?
Fehim
Tgħix u tgħix tali kumpanija antivirus bħala
Ejja ninteressaw ruħhom fil-verżjoni b'xejn u naraw x'jista' jagħmel il-prodott tal-kollegi Ġermaniżi tagħna. Nagħtu t'għajn fuq l-interface - xejn mhux tas-soltu. Ma nsibu ebda referenza għal prodott ieħor tal-kumpanija - Avira Password Manager.
Ejja nagħtu ħarsa lejn il-komponent bl-isem li ma jiġbedx l-attenzjoni "Avira.PWM.NativeMessaging.exe"? Huwa ikkompilat għall-pjattaforma .NET u mhu moħbi bl-ebda mod, għalhekk aħna tagħbijaha f'dnSpy u nistudjaw liberament il-kodiċi tal-programm.
Il-programm huwa programm console u jistenna kmandi fil-fluss ta 'input standard. Funzjoni ewlenija bl-użu ta' "Aqra" jaqra d-dejta mill-fluss, jiċċekkja l-format u jgħaddi l-kmand lill-funzjoni"ProcessMessage" L-istess, imbagħad, jiċċekkja li l-kmand trasmess huwa "fetchChromePasswords" jew "fetchCredentials" (għalkemm x'differenza tagħmel jekk l-imġieba ulterjuri tkun l-istess?) u mbagħad tibda l-aktar parti interessanti - issejjaħ il-funzjoni "RetrieveBrowserCredentials" Huwa saħansitra interessanti... x'tista' tagħmel funzjoni b'dak l-isem?
Xejn mhux tas-soltu, sempliċement jiġbor f'lista waħda l-kontijiet kollha tal-utent salvati meta taħdem ma' browsers tal-Internet "Chrome", "Opera" (ibbażat fuq Chromium), "Firefox" u "Edge" (ibbażat fuq Chromium) u jirritorna d-dejta bħala Oġġett JSON.
Ukoll, allura juri d-dejta miġbura fuq il-console:
L-essenza tal-problema
- Il-komponent jiġbor il-kredenzjali tal-utent;
- Il-komponent ma jivverifikax il-programm tas-sejħa (pereżempju, billi għandux firma diġitali mill-manifattur innifsu);
- Il-komponent għandu firma diġitali "affidabbli" u ma jqajjemx suspett fost manifatturi oħra ta 'softwer kontra l-virus;
- Il-komponent jaħdem bħala applikazzjoni separata.
IoC
SHA1: 13c95241e671b98342dba51741fd02621768ecd5.
CVE-2020-12680 inħareġ għal din il-ħarġa.
Fl-07.04.2020/XNUMX/XNUMX bgħatt ittra dwar din il-problema lil: [protett bl-email] и [protett bl-email] b'deskrizzjoni sħiħa. Ma kien hemm l-ebda ittri ta' tweġiba, inkluż minn sistemi awtomatiċi. Xahar wara, il-komponent deskritt għadu mqassam fid-distribuzzjoni Avira Free Antivirus.
Sors: www.habr.com