Wat als ik u vertelde dat de enige functie van een van de antivirussoftwarecomponenten met een vertrouwde digitale handtekening het verzamelen van al uw inloggegevens is die zijn opgeslagen in populaire internetbrowsers? Wat als ik zeg dat het hem niet uitmaakt wiens belang het is om ze te verzamelen? Je zult waarschijnlijk denken dat ik een waanvoorstelling heb. Laten we eens kijken hoe het echt is?
Begrip
Woont en leeft zo'n antivirusbedrijf als . Produceert diverse producten op het gebied van informatiebeveiliging. Er zijn zelfs gratis producten voor thuisgebruik.
Laten we geïnteresseerd raken in de gratis versie en kijken wat het product van onze Duitse collega's kan doen. We werpen een blik op de interface - niets ongewoons. We vinden geen enkele vermelding van een ander product van het bedrijf: Avira Password Manager.
Laten we eens kijken naar het onderdeel met de naam dat geen aandacht trekt “Avira.PWM.NativeMessaging.exe"? Het is gecompileerd voor het .NET-platform en is op geen enkele manier onduidelijk, dus laden we het in dnSpy en bestuderen we de programmacode vrijelijk.
Het programma is een consoleprogramma en verwacht opdrachten in de standaardinvoerstroom. Hoofdfunctie met "Lees" leest gegevens uit de stream, controleert het formaat en geeft het commando door aan de functie "Procesbericht" Hetzelfde controleert op zijn beurt of het verzonden commando is "haal ChromeWachtwoorden op"of"ophalenCredentials" (hoewel wat voor verschil maakt het als het verdere gedrag hetzelfde is?) en dan begint het meest interessante deel: het aanroepen van de functie "Browserreferenties ophalen" Het is zelfs interessant... wat kan een functie met die naam doen?
Niets ongewoons, het verzamelt eenvoudigweg alle gebruikersaccounts die zijn opgeslagen bij het werken met de internetbrowsers “Chrome”, “Opera” (gebaseerd op Chromium), “Firefox” en “Edge” (gebaseerd op Chromium) in één lijst en retourneert de gegevens als een JSON-object.
Welnu, dan worden de verzamelde gegevens weergegeven op de console:
De essentie van het probleem
- De component verzamelt gebruikersreferenties;
- De component verifieert het oproepende programma niet (bijvoorbeeld door te kijken of het een digitale handtekening van de fabrikant zelf heeft);
- Het onderdeel heeft een ‘vertrouwde’ digitale handtekening en wekt geen argwaan bij andere fabrikanten van antivirussoftware;
- Het onderdeel draait als een aparte applicatie.
IoC
SHA1: 13c95241e671b98342dba51741fd02621768ecd5.
Voor dit probleem is CVE-2020-12680 uitgegeven.
Op 07.04.2020/XNUMX/XNUMX heb ik een brief over dit probleem gestuurd naar: [e-mail beveiligd] и [e-mail beveiligd] met een volledige beschrijving. Er waren geen antwoordbrieven, ook niet van automatische systemen. Een maand later wordt het beschreven onderdeel nog steeds gedistribueerd in de Avira Free Antivirus-distributie.
Bron: www.habr.com