Hva om jeg fortalte deg at den eneste funksjonen til en av antivirusprogramvarekomponentene som har en pålitelig digital signatur er å samle all legitimasjonen din som er lagret i populære nettlesere? Hva om jeg sier at det ikke spiller noen rolle for ham hvis interesser det er å samle dem? Du vil nok tro at jeg er vrangforestilling. La oss se hvordan det egentlig er?
Forståelse
Bor og lever et slikt antivirusselskap som . Produserer ulike produkter knyttet til informasjonssikkerhet. Det finnes til og med gratis produkter for hjemmebruk.
La oss bli interessert i gratisversjonen og se hva produktet til våre tyske kolleger kan gjøre. Vi ser over grensesnittet - ikke noe uvanlig. Vi finner ingen omtale av et annet av selskapets produkter – Avira Password Manager.
La oss ta en titt på komponenten med navnet som ikke tiltrekker seg oppmerksomhet "Avira.PWM.NativeMessaging.exe"? Den er kompilert for .NET-plattformen og er ikke tilslørt på noen måte, så vi laster den inn i dnSpy og studerer programkoden fritt.
Programmet er et konsollprogram og forventer kommandoer i standardinndatastrømmen. Hovedfunksjon ved hjelp av "Lese" leser data fra strømmen, sjekker formatet og sender kommandoen til funksjonen "ProcessMessage" Det samme sjekker på sin side at den overførte kommandoen er "henteChromePasswords" eller "hente påloggingsinformasjon" (selv om hvilken forskjell gjør det hvis den videre oppførselen er den samme?) og så begynner den mest interessante delen - å kalle funksjonen "Hent nettleserlegitimasjon" Det er til og med interessant... hva kan en funksjon med det navnet gjøre?
Ikke noe uvanlig, det samler ganske enkelt alle brukerkontoene som er lagret når du arbeider med nettlesere "Chrome", "Opera" (basert på Chromium), "Firefox" og "Edge" (basert på Chromium) og returnerer dataene som en JSON-objekt.
Vel, da viser den de innsamlede dataene til konsollen:
Kjernen i problemet
- Komponenten samler brukerlegitimasjon;
- Komponenten verifiserer ikke anropsprogrammet (for eksempel ved om den har en digital signatur fra produsenten selv);
- Komponenten har en "klarert" digital signatur og vekker ikke mistanke blant andre produsenter av antivirusprogramvare;
- Komponenten kjører som en egen applikasjon.
IoC
SHA1: 13c95241e671b98342dba51741fd02621768ecd5.
CVE-2020-12680 ble utstedt for dette problemet.
Den 07.04.2020/XNUMX/XNUMX sendte jeg et brev om dette problemet til: [e-postbeskyttet] и [e-postbeskyttet] med en fullstendig beskrivelse. Det kom ingen svarbrev, inkludert fra automatiske systemer. En måned senere er den beskrevne komponenten fortsatt distribuert i Avira Free Antivirus-distribusjonen.
Kilde: www.habr.com