Kumaha upami kuring nyarioskeun yén hiji-hijina fungsi tina salah sahiji komponén parangkat lunak antipirus anu gaduh tanda tangan digital anu dipercaya nyaéta pikeun ngumpulkeun sadaya kredensial anjeun anu disimpen dina panyungsi internét populér? Kumaha upami kuring nyarios yén éta henteu masalah pikeun anjeunna anu kapentingan pikeun ngumpulkeunana? Anjeun meureun bakal pikir kuring delusional. Hayu urang tingali kumaha sabenerna?
Pamahaman
Hirup sareng hirup perusahaan antipirus sapertos . Ngahasilkeun rupa-rupa produk anu aya hubunganana sareng kaamanan inpormasi. Malah aya produk gratis kanggo dianggo bumi.
Hayu urang kabetot dina versi gratis sareng tingali naon anu tiasa dilakukeun ku produk kolega Jerman urang. Urang glance leuwih panganteur - euweuh ilahar. Kami henteu mendakan anu disebatkeun ngeunaan produk perusahaan anu sanés - Manajer Sandi Avira.
Hayu urang tingali komponén kalayan nami anu henteu narik perhatian "Avira.PWM.NativeMessaging.exe"? Hal ieu disusun pikeun platform .NET sarta henteu obfuscated sagala cara, jadi urang muka kana dnSpy tur kalawan bébas diajar kode program.
Program éta mangrupikeun program konsol sareng ngarepkeun paréntah dina aliran input standar. Fungsi utama ngagunakeun "maca"Maca data tina aliran, pariksa format sareng ngirimkeun paréntah ka fungsina"ProcessMessage" Sarua, kahareupna pariksa yén paréntah anu dikirimkeun nyaéta "fetchChromePasswords"atawa"fetchCredentials"(sanajan naon bédana lamun kabiasaan salajengna sarua?) Lajeng fun dimimitian - nelepon fungsi "RetrieveBrowserCredentials" Ieu malah metot ... naon bisa fungsi kalawan ngaran éta?
Henteu aya anu biasa, éta ngan ukur ngumpulkeun kana hiji daptar sadaya akun pangguna anu disimpen nalika damel sareng panyungsi Internét "Chrome", "Opera" (dumasar kana Chromium), "Firefox" sareng "Edge" (dumasar kana Chromium) sareng ngabalikeun data salaku a objek JSON.
Nya, teras éta nunjukkeun data anu dikumpulkeun ka konsol:
Inti tina masalah
- Komponén ngumpulkeun kredensial pamaké;
- Komponén henteu pariksa program nelepon (contona, naha éta ngagaduhan tanda tangan digital ti produsén sorangan);
- Komponénna ngagaduhan tanda tangan digital "dipercanten" sareng henteu nyababkeun kacurigaan diantara produsén parangkat lunak anti-virus sanés;
- Komponén dijalankeun salaku aplikasi anu misah.
IoC
SHA1: 13c95241e671b98342dba51741fd02621768ecd5.
CVE-2020-12680 dikaluarkeun pikeun masalah ieu.
Dina 07.04.2020/XNUMX/XNUMX kuring ngirim surat ngeunaan masalah ieu ka: [email dijaga] и [email dijaga] kalawan pedaran lengkep. Henteu aya hurup réspon, kalebet tina sistem otomatis. Sabulan ti harita, komponén anu dijelaskeun masih disebarkeun dina distribusi Avira Free Antivirus.
sumber: www.habr.com