Kaj pa, če vam povem, da je edina funkcija ene od komponent protivirusne programske opreme, ki ima zaupanja vreden digitalni podpis, zbiranje vseh vaših poverilnic, shranjenih v priljubljenih internetnih brskalnikih? Kaj če rečem, da mu je vseeno, v čigavem interesu jih zbira? Verjetno boste mislili, da se motim. Poglejmo, kako je v resnici?
Razumevanje
Živi in živi takšno protivirusno podjetje, kot je . Proizvaja različne izdelke, povezane z informacijsko varnostjo. Obstajajo celo brezplačni izdelki za domačo uporabo.
Zanimajmo se za brezplačno različico in poglejmo, kaj zmore izdelek nemških kolegov. Pogledamo po vmesniku - nič nenavadnega. Ne najdemo nobene omembe drugega izdelka podjetja – Avira Password Manager.
Oglejmo si komponento z imenom, ki ne pritegne pozornosti "Avira.PWM.NativeMessaging.exe"? Preveden je za platformo .NET in ni v ničemer zamegljen, zato ga naložimo v dnSpy in prosto proučujemo programsko kodo.
Program je konzolni program in pričakuje ukaze v standardnem vhodnem toku. Glavna funkcija z uporabo "Preberi" prebere podatke iz toka, preveri format in posreduje ukaz funkciji "ProcessMessage" Enako pa preveri, ali je poslani ukaz "fetchChromePasswords"ali"fetchCredentials" (čeprav je kakšna razlika, če je nadaljnje obnašanje enako?) in potem se začne najbolj zanimiv del - klic funkcije "RetrieveBrowserCredentials" To je celo zanimivo ... kaj lahko počne funkcija s tem imenom?
Nič nenavadnega, preprosto zbere v en seznam vse uporabniške račune, shranjene pri delu z internetnimi brskalniki »Chrome«, »Opera« (na osnovi Chromiuma), »Firefox« in »Edge« (na osnovi Chromiuma) in vrne podatke kot Objekt JSON.
No, potem prikaže zbrane podatke na konzoli:
Bistvo problema
- Komponenta zbira uporabniške poverilnice;
- Komponenta ne preverja klicnega programa (na primer, ali ima digitalni podpis samega proizvajalca);
- Komponenta ima »zaupanja vreden« digitalni podpis in ne vzbuja suma pri drugih proizvajalcih protivirusne programske opreme;
- Komponenta deluje kot ločena aplikacija.
IoC
SHA1: 13c95241e671b98342dba51741fd02621768ecd5.
Za to težavo je bil izdan CVE-2020-12680.
07.04.2020. XNUMX. XNUMX sem poslal pismo o tej težavi na: [e-pošta zaščitena] и [e-pošta zaščitena] s popolnim opisom. Odzivnih pisem ni bilo, tudi iz avtomatskih sistemov. Mesec dni kasneje se opisana komponenta še vedno distribuira v distribuciji Avira Free Antivirus.
Vir: www.habr.com