Čo keby som vám povedal, že jedinou funkciou jednej z komponentov antivírusového softvéru, ktorá má dôveryhodný digitálny podpis, je zhromažďovanie všetkých vašich poverení uložených v populárnych internetových prehliadačoch? Čo ak poviem, že jemu nezáleží na tom, v koho záujme je ich zbierať? Pravdepodobne si budete myslieť, že som v blude. Pozrime sa, ako to naozaj je?
Porozumenie
Žije a žije taká antivírusová spoločnosť ako
Poďme sa zaujímať o bezplatnú verziu a uvidíme, čo dokáže produkt našich nemeckých kolegov. Pozeráme sa na rozhranie – nič neobvyklé. Nenachádzame žiadnu zmienku o ďalšom produkte spoločnosti – Avira Password Manager.
Pozrime sa na komponent s názvom, ktorý nepriťahuje pozornosť “Avira.PWM.NativeMessaging.exe"? Je zostavený pre platformu .NET a nie je nijako zahmlený, preto ho načítame do dnSpy a voľne študujeme kód programu.
Program je konzolový a očakáva príkazy v štandardnom vstupnom toku. Hlavná funkcia pomocou "čítať"prečíta údaje zo streamu, skontroluje formát a odovzdá príkaz funkcii"ProcessMessage" To isté zase skontroluje, či je prenášaný príkaz "fetchChromePasswords"alebo"fetchCredentials" (hoci aký je v tom rozdiel, ak je ďalšie správanie rovnaké?) a potom začína najzaujímavejšia časť - volanie funkcie "RetrieveBrowserCredentials" Je to dokonca zaujímavé... čo dokáže funkcia s týmto názvom?
Nič neobvyklé, jednoducho zhromažďuje do jedného zoznamu všetky používateľské účty uložené pri práci s internetovými prehliadačmi „Chrome“, „Opera“ (založené na prehliadači Chromium), „Firefox“ a „Edge“ (založené na prehliadači Chromium) a vráti údaje ako objekt JSON.
Potom zobrazí zhromaždené údaje do konzoly:
Podstata problému
- Komponent zhromažďuje poverenia používateľa;
- Komponent neoveruje volajúci program (napríklad tým, či má digitálny podpis od samotného výrobcu);
- Komponent má „dôveryhodný“ digitálny podpis a nevyvoláva podozrenie u iných výrobcov antivírusového softvéru;
- Komponent beží ako samostatná aplikácia.
IoC
SHA1: 13c95241e671b98342dba51741fd02621768ecd5.
K tomuto problému bol vydaný CVE-2020-12680.
Dňa 07.04.2020 som poslal list o tomto probléme na adresu: [chránené e-mailom] и [chránené e-mailom] s úplným popisom. Neprišli žiadne listy s odpoveďou, a to ani z automatických systémov. O mesiac neskôr je popísaný komponent stále distribuovaný v distribúcii Avira Free Antivirus.
Zdroj: hab.com