Paano kung sinabi ko sa iyo na ang tanging function ng isa sa mga bahagi ng antivirus software na may pinagkakatiwalaang digital na lagda ay ang kolektahin ang lahat ng iyong mga kredensyal na nakaimbak sa mga sikat na Internet browser? Paano kung sabihin ko na hindi mahalaga sa kanya kung kaninong interes ang kolektahin ang mga ito? Malamang iisipin mong nagde-delusyon ako. Tingnan natin kung paano talaga ito?
Pag-unawa
Nabubuhay at nabubuhay tulad ng isang kumpanya ng antivirus bilang . Gumagawa ng iba't ibang mga produkto na may kaugnayan sa seguridad ng impormasyon. Mayroong kahit na mga libreng produkto para sa paggamit sa bahay.
Maging interesado tayo sa libreng bersyon at tingnan kung ano ang magagawa ng produkto ng ating mga kasamahang Aleman. Sinulyapan namin ang interface - walang kakaiba. Wala kaming nakitang anumang pagbanggit ng isa pang produkto ng kumpanya β Avira Password Manager.
Tingnan natin ang bahagi na may pangalan na hindi nakakaakit ng pansin "Avira.PWM.NativeMessaging.exe"? Ito ay pinagsama-sama para sa .NET platform at hindi na-obfuscate sa anumang paraan, kaya nilo-load namin ito sa dnSpy at malayang pinag-aaralan ang program code.
Ang programa ay isang console program at inaasahan nito ang mga utos sa karaniwang input stream. Pangunahing pag-andar gamit ang "Basahin" nagbabasa ng data mula sa stream, sinusuri ang format at ipinapasa ang command sa function "ProcessMessage" Ang parehong, sa turn, ay nagsusuri na ang ipinadalang utos ay "fetchChromePasswords"o"fetchCredentials" (bagaman ano ang pagkakaiba nito kung ang karagdagang pag-uugali ay pareho?) at pagkatapos ay magsisimula ang pinaka-kagiliw-giliw na bahagi - ang pagtawag sa function "RetrieveBrowserCredentials" Nakakatuwa pa nga... ano ang magagawa ng isang function na may ganoong pangalan?
Walang kakaiba, kinokolekta lang nito sa isang listahan ang lahat ng user account na na-save kapag nagtatrabaho sa mga Internet browser na "Chrome", "Opera" (batay sa Chromium), "Firefox" at "Edge" (batay sa Chromium) at ibinabalik ang data bilang isang object ng JSON.
Well, pagkatapos ay ipinapakita nito ang nakolektang data sa console:
Ang kakanyahan ng problema
- Kinokolekta ng bahagi ang mga kredensyal ng gumagamit;
- Hindi bini-verify ng component ang calling program (halimbawa, kung mayroon itong digital signature mula sa mismong manufacturer);
- Ang bahagi ay may "pinagkakatiwalaang" digital na lagda at hindi nagtataas ng hinala sa iba pang mga tagagawa ng software ng anti-virus;
- Ang bahagi ay tumatakbo bilang isang hiwalay na aplikasyon.
IoC
SHA1: 13c95241e671b98342dba51741fd02621768ecd5.
Ang CVE-2020-12680 ay inisyu para sa isyung ito.
Noong 07.04.2020/XNUMX/XNUMX nagpadala ako ng liham tungkol sa problemang ito sa: [protektado ng email] ΠΈ [protektado ng email] na may buong paglalarawan. Walang mga sulat ng tugon, kabilang ang mula sa mga awtomatikong system. Pagkalipas ng isang buwan, ang inilarawang bahagi ay ipinamamahagi pa rin sa pamamahagi ng Avira Free Antivirus.
Pinagmulan: www.habr.com