E se eu lhe dissesse que a única função de um dos componentes do software antivírus que possui uma assinatura digital confiável é coletar todas as suas credenciais armazenadas em navegadores populares da Internet? E se eu disser que não importa para quem é do interesse coletá-los? Você provavelmente vai pensar que estou delirando. Vamos ver como realmente é?
Nós entendemos
Vive e vive uma empresa de antivírus como
Vamos nos interessar pela versão gratuita e ver o que o produto dos nossos colegas alemães pode fazer. Damos uma olhada na interface - nada de incomum. Não encontramos nenhuma menção a outro produto da empresa – Avira Password Manager.
Vamos dar uma olhada no componente com o nome que não chama a atenção “Avira.PWM.NativeMessaging.exe"? Ele é compilado para a plataforma .NET e não é ofuscado de forma alguma, então o carregamos no dnSpy e estudamos livremente o código do programa.
O programa é um programa de console e espera comandos no fluxo de entrada padrão. Função principal usando "Leia" lê os dados do stream, verifica o formato e passa o comando para a função "Mensagem de processo" O mesmo, por sua vez, verifica se o comando transmitido é "buscar senhas do Chrome"Ou"buscar credenciais" (embora que diferença faz se o comportamento posterior for o mesmo?) e então começa a parte mais interessante - chamar a função "Recuperar credenciais do navegador" É até interessante... o que uma função com esse nome pode fazer?
Nada incomum, ele simplesmente reúne em uma lista todas as contas de usuário salvas ao trabalhar com os navegadores de Internet “Chrome”, “Opera” (baseado em Chromium), “Firefox” e “Edge” (baseado em Chromium) e retorna os dados como um Objeto JSON.
Bem, então ele exibe os dados coletados no console:
A essência do problema
- O componente coleta credenciais do usuário;
- O componente não verifica o programa chamador (por exemplo, se possui assinatura digital do próprio fabricante);
- O componente possui assinatura digital “confiável” e não levanta suspeitas entre outros fabricantes de software antivírus;
- O componente é executado como um aplicativo separado.
COI
SHA1: 13c95241e671b98342dba51741fd02621768ecd5.
CVE-2020-12680 foi emitido para este problema.
No dia 07.04.2020/XNUMX/XNUMX enviei uma carta sobre este problema para: [email protegido] и [email protegido] com descrição completa. Não houve cartas de resposta, inclusive de sistemas automáticos. Um mês depois, o componente descrito ainda é distribuído na distribuição do Avira Free Antivirus.
Fonte: habr.com