విశ్వసనీయ డిజిటల్ సంతకాన్ని కలిగి ఉన్న యాంటీవైరస్ సాఫ్ట్వేర్ కాంపోనెంట్లలో ఒకదాని యొక్క ఏకైక పని జనాదరణ పొందిన ఇంటర్నెట్ బ్రౌజర్లలో నిల్వ చేయబడిన మీ అన్ని ఆధారాలను సేకరించడం అని నేను మీకు చెబితే? వాటిని వసూలు చేయడం ఎవరి అభిరుచులు అన్నది అతనికి ముఖ్యం కాదని నేను చెబితే ఎలా? నేను భ్రమపడుతున్నానని మీరు బహుశా అనుకోవచ్చు. ఇది నిజంగా ఎలా ఉందో చూద్దాం?
అవగాహన
వంటి యాంటీవైరస్ కంపెనీ నివసిస్తుంది మరియు జీవిస్తుంది
ఉచిత సంస్కరణపై ఆసక్తి చూపండి మరియు మా జర్మన్ సహోద్యోగుల ఉత్పత్తి ఏమి చేయగలదో చూద్దాం. మేము ఇంటర్ఫేస్ని చూస్తాము - అసాధారణమైనది ఏమీ లేదు. మేము కంపెనీ యొక్క మరొక ఉత్పత్తుల ప్రస్తావనను కనుగొనలేదు - Avira పాస్వర్డ్ మేనేజర్.
దృష్టిని ఆకర్షించని పేరుతో ఉన్న భాగాన్ని చూద్దాం "Avira.PWM.NativeMessaging.exe"? ఇది .NET ప్లాట్ఫారమ్ కోసం సంకలనం చేయబడింది మరియు ఏ విధంగానూ అస్పష్టంగా లేదు, కాబట్టి మేము దానిని dnSpyలోకి లోడ్ చేస్తాము మరియు ప్రోగ్రామ్ కోడ్ను ఉచితంగా అధ్యయనం చేస్తాము.
ప్రోగ్రామ్ కన్సోల్ ప్రోగ్రామ్ మరియు ఇది ప్రామాణిక ఇన్పుట్ స్ట్రీమ్లో ఆదేశాలను ఆశించింది. "ని ఉపయోగించి ప్రధాన విధిచదవండి"స్ట్రీమ్ నుండి డేటాను చదువుతుంది, ఆకృతిని తనిఖీ చేస్తుంది మరియు ఆదేశాన్ని ఫంక్షన్కు పంపుతుంది"ప్రక్రియ సందేశం" అదే, ప్రసారం చేయబడిన ఆదేశం " అని తనిఖీ చేస్తుంది.ChromePasswordలను పొందండి"లేదా"ఆధారాలను పొందండి" (అయితే తదుపరి ప్రవర్తన ఒకేలా ఉంటే అది ఏ తేడా చేస్తుంది?) ఆపై అత్యంత ఆసక్తికరమైన భాగం ప్రారంభమవుతుంది - ఫంక్షన్కి కాల్ చేయడం"బ్రౌజర్ ఆధారాలను తిరిగి పొందండి" ఇది కూడా ఆసక్తికరంగా ఉంది... ఆ పేరుతో ఒక ఫంక్షన్ ఏమి చేయగలదు?
అసాధారణంగా ఏమీ లేదు, ఇది "Chrome", "Opera" (Chromium ఆధారంగా), "Firefox" మరియు "Edge" (Chromium ఆధారంగా) ఇంటర్నెట్ బ్రౌజర్లతో పని చేస్తున్నప్పుడు సేవ్ చేయబడిన అన్ని వినియోగదారు ఖాతాలను ఒక జాబితాలో సేకరిస్తుంది మరియు డేటాను తిరిగి అందిస్తుంది JSON వస్తువు.
బాగా, అది సేకరించిన డేటాను కన్సోల్కు ప్రదర్శిస్తుంది:
సమస్య యొక్క సారాంశం
- భాగం వినియోగదారు ఆధారాలను సేకరిస్తుంది;
- కాంపోనెంట్ కాలింగ్ ప్రోగ్రామ్ను ధృవీకరించదు (ఉదాహరణకు, తయారీదారు నుండి డిజిటల్ సంతకం ఉందా లేదా అనే దాని ద్వారా);
- భాగం "విశ్వసనీయ" డిజిటల్ సంతకాన్ని కలిగి ఉంది మరియు ఇతర యాంటీ-వైరస్ సాఫ్ట్వేర్ తయారీదారులలో అనుమానాన్ని పెంచదు;
- భాగం ఒక ప్రత్యేక అప్లికేషన్ వలె నడుస్తుంది.
IoC
SHA1: 13c95241e671b98342dba51741fd02621768ecd5.
ఈ సమస్య కోసం CVE-2020-12680 జారీ చేయబడింది.
07.04.2020/XNUMX/XNUMXన నేను ఈ సమస్య గురించి వీరికి లేఖ పంపాను: [ఇమెయిల్ రక్షించబడింది] и [ఇమెయిల్ రక్షించబడింది] పూర్తి వివరణతో. ఆటోమేటిక్ సిస్టమ్లతో సహా ప్రతిస్పందన లేఖలు లేవు. ఒక నెల తర్వాత, వివరించిన భాగం ఇప్పటికీ Avira ఉచిత యాంటీవైరస్ పంపిణీలో పంపిణీ చేయబడుతుంది.
మూలం: www.habr.com