நம்பகமான டிஜிட்டல் கையொப்பத்தைக் கொண்ட வைரஸ் தடுப்பு மென்பொருள் கூறுகளில் ஒன்றின் ஒரே செயல்பாடு பிரபலமான இணைய உலாவிகளில் சேமிக்கப்பட்டுள்ள உங்களின் அனைத்து நற்சான்றிதழ்களையும் சேகரிப்பதுதான் என்று நான் உங்களிடம் சொன்னால் என்ன செய்வது? அவற்றை சேகரிப்பது யாருடைய நலன்கள் என்பது அவருக்கு முக்கியமில்லை என்று நான் சொன்னால் என்ன செய்வது? நான் மாயை என்று நீங்கள் நினைக்கலாம். உண்மையில் எப்படி இருக்கிறது என்று பார்ப்போமா?
புரிதல்
போன்ற ஒரு வைரஸ் தடுப்பு நிறுவனம் வாழ்கிறது மற்றும் வாழ்கிறது . தகவல் பாதுகாப்பு தொடர்பான பல்வேறு தயாரிப்புகளை உற்பத்தி செய்கிறது. வீட்டு உபயோகத்திற்கு கூட இலவச பொருட்கள் உள்ளன.
இலவச பதிப்பில் ஆர்வமாக இருங்கள் மற்றும் எங்கள் ஜெர்மன் சக ஊழியர்களின் தயாரிப்பு என்ன செய்ய முடியும் என்பதைப் பார்ப்போம். நாங்கள் இடைமுகத்தைப் பார்க்கிறோம் - அசாதாரணமானது எதுவுமில்லை. நிறுவனத்தின் மற்றொரு தயாரிப்பு - Avira கடவுச்சொல் மேலாளர் பற்றி நாங்கள் குறிப்பிடவில்லை.
கவனத்தை ஈர்க்காத பெயருடன் உள்ள கூறுகளைப் பார்ப்போம் "Avira.PWM.NativeMessaging.exe"? இது .NET இயங்குதளத்திற்காக தொகுக்கப்பட்டுள்ளது மற்றும் எந்த வகையிலும் குழப்பமடையவில்லை, எனவே நாங்கள் அதை dnSpy இல் ஏற்றி நிரல் குறியீட்டை சுதந்திரமாக படிக்கிறோம்.
நிரல் ஒரு கன்சோல் நிரலாகும், மேலும் இது நிலையான உள்ளீட்டு ஸ்ட்ரீமில் கட்டளைகளை எதிர்பார்க்கிறது. "ஐப் பயன்படுத்தி முக்கிய செயல்பாடுபடிக்க" ஸ்ட்ரீமில் இருந்து தரவைப் படிக்கிறது, வடிவமைப்பைச் சரிபார்த்து கட்டளையை செயல்பாட்டிற்கு அனுப்புகிறது "செயல்முறைச்செய்தி" அதே, அனுப்பப்பட்ட கட்டளை " என்பதை சரிபார்க்கிறதுகுரோம் கடவுச்சொற்களைப் பெறவும்" அல்லது "நற்சான்றிதழ்களைப் பெறுதல்" (மேலும் நடத்தை ஒரே மாதிரியாக இருந்தால் அது என்ன வித்தியாசத்தை ஏற்படுத்தும்?) பின்னர் மிகவும் சுவாரஸ்யமான பகுதி தொடங்குகிறது - செயல்பாட்டை அழைக்கிறது "உலாவி நற்சான்றிதழ்களை மீட்டெடுக்கவும்" சுவாரஸ்யமும் கூட... அந்தப் பெயரைக் கொண்ட ஒரு செயல்பாடு என்ன செய்ய முடியும்?
அசாதாரணமானது எதுவுமில்லை, "Chrome", "Opera" (Chromium அடிப்படையிலானது), "Firefox" மற்றும் "Edge" (Chromium அடிப்படையில்) இணைய உலாவிகளில் பணிபுரியும் போது சேமித்த அனைத்து பயனர் கணக்குகளையும் ஒரு பட்டியலில் சேகரித்து தரவை வழங்குகிறது JSON பொருள்.
சரி, அது சேகரிக்கப்பட்ட தரவை கன்சோலில் காண்பிக்கும்:
பிரச்சனை சாரம்
- கூறு பயனர் நற்சான்றிதழ்களை சேகரிக்கிறது;
- கூறு அழைப்பு நிரலை சரிபார்க்கவில்லை (உதாரணமாக, உற்பத்தியாளரிடமிருந்தே டிஜிட்டல் கையொப்பம் உள்ளதா என்பதன் மூலம்);
- கூறு "நம்பகமான" டிஜிட்டல் கையொப்பத்தைக் கொண்டுள்ளது மற்றும் பிற வைரஸ் எதிர்ப்பு மென்பொருள் உற்பத்தியாளர்களிடையே சந்தேகத்தை ஏற்படுத்தாது;
- கூறு ஒரு தனி பயன்பாடாக இயங்குகிறது.
IoC
SHA1: 13c95241e671b98342dba51741fd02621768ecd5.
இந்தச் சிக்கலுக்காக CVE-2020-12680 வெளியிடப்பட்டது.
07.04.2020/XNUMX/XNUMX அன்று நான் இந்த பிரச்சனை பற்றி ஒரு கடிதம் அனுப்பினேன்: [மின்னஞ்சல் பாதுகாக்கப்பட்டது] и [மின்னஞ்சல் பாதுகாக்கப்பட்டது] முழு விளக்கத்துடன். தானியங்கி அமைப்புகள் உட்பட பதில் கடிதங்கள் எதுவும் இல்லை. ஒரு மாதம் கழித்து, விவரிக்கப்பட்ட கூறு இன்னும் Avira இலவச வைரஸ் தடுப்பு விநியோகத்தில் விநியோகிக்கப்படுகிறது.
ஆதாரம்: www.habr.com