څه که زه تاسو ته ووایم چې د انټي ویروس سافټویر برخو څخه یوازینۍ دنده چې د باور وړ ډیجیټل لاسلیک لري ستاسو ټول اسناد راټولول دي چې په مشهور انټرنیټ براوزرونو کې زیرمه شوي؟ څه که زه ووایم چې دا د چا لپاره مهمه نده چې دا د دوی راټولول دي؟ تاسو شاید فکر کوئ چې زه فریب یم. راځئ وګورو چې دا واقعیا څنګه ده؟
درک کول
ژوند کوي او ژوند کوي لکه د انټي ویروس شرکت
راځئ چې وړیا نسخه کې علاقه ولرو او وګورو چې زموږ د آلمان همکارانو محصول څه کولی شي. موږ انٹرفیس ته ګورو - هیڅ غیر معمولي. موږ د شرکت کوم بل محصول - د ایویرا پاسورډ مدیر په اړه هیڅ یادونه نه کوو.
راځئ چې د نوم سره برخې ته یو نظر وګورو چې پام نه راجلبوي "Avira.PWM.NativeMessaging.exe"؟ دا د .NET پلیټ فارم لپاره تالیف شوی او په هیڅ ډول خنډ نه دی، نو موږ دا په dnSpy کې بار کوو او په وړیا توګه د پروګرام کوډ مطالعه کوو.
برنامه د کنسول برنامه ده او دا د معیاري ان پټ جریان کې کمانډ تمه کوي. د اصلي فعالیت په کارولو سره "ادامه"د جریان څخه ډاټا لوستل کیږي، بڼه چک کوي او فنکشن ته کمانډ لیږدوي"د پروسې پیغام" ورته، په بدل کې، چک کوي چې لیږدول شوی کمانډ دی "د کروم پاسورډونه راوړل"یا"سندونه راوړل"(که څه هم دا څه توپیر رامینځته کوي که چیرې نور چلند ورته وي؟) او بیا خورا په زړه پوري برخه پیل کیږي - فنکشن ته زنګ وهل"د براوزر اسناد بیرته ترلاسه کړئ" دا حتی په زړه پورې ده ... د دې نوم سره فعالیت څه کولی شي؟
هیڅ غیر معمولي ندي ، دا په ساده ډول په یو لیست کې راټولوي ټول د کارونکي حسابونه خوندي شوي کله چې د انټرنیټ براوزرونو "کروم" ، "اوپیرا" (د کرومیم پراساس) ، "فایرفاکس" او "ایج" (د کرومیم پراساس) سره کار کوي او ډاټا بیرته راګرځوي. JSON اعتراض.
ښه، بیا دا راټول شوي ډاټا کنسول ته ښکاره کوي:
د ستونزې جوهر
- برخه د کارونکي اسناد راټولوي؛
- برخه د زنګ وهلو برنامه نه تاییدوي (د مثال په توګه ، ایا دا پخپله د تولید کونکي لخوا ډیجیټل لاسلیک لري)؛
- برخه د "باور وړ" ډیجیټل لاسلیک لري او د نورو ویروس ضد سافټویر جوړونکو ترمنځ شک نه راپورته کوي؛
- برخه د جلا غوښتنلیک په توګه پرمخ ځي.
IoC
SHA1: 13c95241e671b98342dba51741fd02621768ecd5.
د دې مسلې لپاره CVE-2020-12680 خپور شوی.
په 07.04.2020/XNUMX/XNUMX ما د دې ستونزې په اړه یو لیک واستاوه: [ایمیل خوندي شوی] и [ایمیل خوندي شوی] د بشپړ وضاحت سره. هیڅ ځواب لیکونه شتون نلري، په شمول د اتوماتیک سیسټمونو څخه. یوه میاشت وروسته، تشریح شوې برخه لاهم د ایویرا وړیا انټي ویروس توزیع کې توزیع شوې.
سرچینه: www.habr.com