Po sikur t'ju thosha se funksioni i vetëm i një prej komponentëve të softuerit antivirus që ka një nënshkrim dixhital të besuar është të mbledhë të gjitha kredencialet tuaja të ruajtura në shfletuesit e njohur të internetit? Po sikur të them se nuk ka rëndësi për atë, interesat e kujt janë t'i mbledhë ato? Ju ndoshta do të mendoni se jam në deluzion. Le të shohim se si është në të vërtetë?
Kuptimi
Jeton dhe jeton një kompani e tillë antivirus si . Prodhon produkte të ndryshme që lidhen me sigurinë e informacionit. Ka edhe produkte falas për përdorim në shtëpi.
Le të interesohemi për versionin falas dhe të shohim se çfarë mund të bëjë produkti i kolegëve tanë gjermanë. Ne hedhim një vështrim mbi ndërfaqen - asgjë e pazakontë. Ne nuk gjejmë asnjë përmendje të një prej produkteve të tjera të kompanisë - Avira Password Manager.
Le t'i hedhim një sy komponentit me emrin që nuk tërheq vëmendjen "Avira.PWM.NativeMessaging.exe"? Ai është përpiluar për platformën .NET dhe nuk është i turbullt në asnjë mënyrë, kështu që ne e ngarkojmë atë në dnSpy dhe studiojmë lirisht kodin e programit.
Programi është një program konsol dhe pret komanda në rrjedhën standarde të hyrjes. Funksioni kryesor duke përdorur "Lexoj"lexon të dhënat nga transmetimi, kontrollon formatin dhe ia kalon komandën funksionit"Mesazhi i procesit" E njëjta, nga ana tjetër, kontrollon që komanda e transmetuar është "fetchChromePasswords"ose"fetchCredentials" (edhe pse çfarë ndryshimi ka nëse sjellja e mëtejshme është e njëjtë?) dhe pastaj fillon pjesa më interesante - thirrja e funksionit "RetrieveBrowserCredentials" Madje është interesante... çfarë mund të bëjë një funksion me atë emër?
Asgjë e pazakontë, ai thjesht mbledh në një listë të gjitha llogaritë e përdoruesve të ruajtura gjatë punës me shfletuesit e internetit "Chrome", "Opera" (bazuar në Chromium), "Firefox" dhe "Edge" (bazuar në Chromium) dhe i kthen të dhënat si objekt JSON.
Epo, atëherë ai shfaq të dhënat e mbledhura në tastierë:
Thelbi i problemit
- Komponenti mbledh kredencialet e përdoruesit;
- Komponenti nuk e verifikon programin e thirrjes (për shembull, nëse ka një nënshkrim dixhital nga vetë prodhuesi);
- Komponenti ka një nënshkrim dixhital "të besueshëm" dhe nuk ngre dyshime midis prodhuesve të tjerë të programeve antivirus;
- Komponenti funksionon si një aplikacion i veçantë.
IoC
SHA1: 13c95241e671b98342dba51741fd02621768ecd5.
Për këtë çështje është lëshuar CVE-2020-12680.
Më 07.04.2020/XNUMX/XNUMX dërgova një letër për këtë problem tek: [email mbrojtur] и [email mbrojtur] me përshkrim të plotë. Nuk kishte letra përgjigje, përfshirë edhe nga sistemet automatike. Një muaj më vonë, komponenti i përshkruar ende shpërndahet në shpërndarjen Avira Free Antivirus.
Burimi: www.habr.com