A co jeśli powiem Ci, że jedyną funkcją jednego ze składników oprogramowania antywirusowego posiadającego zaufany podpis cyfrowy jest zbieranie wszystkich Twoich danych uwierzytelniających przechowywanych w popularnych przeglądarkach internetowych? A co jeśli powiem, że dla niego nie ma znaczenia w czyim interesie jest je zebrać? Pewnie pomyślisz, że mam urojenia. Zobaczmy jak jest naprawdę?
Zrozumienie
Żyje i żyje taka firma antywirusowa jak . Zajmuje się produkcją różnorodnych produktów związanych z bezpieczeństwem informacji. Istnieją nawet bezpłatne produkty do użytku domowego.
Zainteresujmy się wersją darmową i zobaczmy co potrafi produkt naszych niemieckich kolegów. Rzucamy okiem na interfejs – nic niezwykłego. Nie znajdziemy wzmianki o innym produkcie firmy – Avira Password Manager.
Przyjrzyjmy się komponentowi o nazwie, który nie przyciąga uwagi”Avira.PWM.NativeMessaging.exe„? Jest on kompilowany dla platformy .NET i nie jest w żaden sposób zaciemniany, dlatego ładujemy go do dnSpy i swobodnie studiujemy kod programu.
Program jest programem konsolowym i oczekuje poleceń w standardowym strumieniu wejściowym. Główna funkcja wykorzystująca „Czytaj" odczytuje dane ze strumienia, sprawdza format i przekazuje polecenie do funkcji "Wiadomość procesu" To samo z kolei sprawdza, czy przekazane polecenie to „pobierzChromePasswords" lub "pobierz dane uwierzytelniające" (chociaż jakie to robi różnicę, jeśli dalsze zachowanie jest takie samo?) i wtedy zaczyna się najciekawsza część - wywołanie funkcji "Pobierz dane przeglądarki" To nawet interesujące... co może zrobić funkcja o tej nazwie?
Nic niezwykłego, po prostu zbiera na jedną listę wszystkie konta użytkowników zapisane podczas pracy z przeglądarkami internetowymi „Chrome”, „Opera” (oparty na Chromium), „Firefox” i „Edge” (oparty na Chromium) i zwraca dane jako Obiekt JSON.
No cóż, następnie wyświetla zebrane dane na konsoli:
Istota problemu
- Komponent zbiera dane uwierzytelniające użytkownika;
- Komponent nie sprawdza programu wywołującego (np. pod kątem tego, czy posiada podpis cyfrowy samego producenta);
- Komponent posiada „zaufany” podpis cyfrowy i nie budzi podejrzeń wśród innych producentów oprogramowania antywirusowego;
- Komponent działa jako osobna aplikacja.
MKOl
SHA1: 13c95241e671b98342dba51741fd02621768ecd5.
W związku z tym problemem wydano CVE-2020-12680.
W dniu 07.04.2020 wysłałem pismo w sprawie tego problemu na adres: [email chroniony] и [email chroniony] z pełnym opisem. Nie nadeszły żadne pisma z odpowiedzią, także z systemów automatycznych. Miesiąc później opisywany komponent nadal jest dystrybuowany w dystrybucji Avira Free Antivirus.
Źródło: www.habr.com