Peki ya size, güvenilir bir dijital imzaya sahip antivirüs yazılımı bileşenlerinden birinin tek işlevinin, popüler İnternet tarayıcılarında saklanan tüm kimlik bilgilerinizi toplamak olduğunu söylesem? Peki ya bunları toplamanın kimin çıkarına olduğunun onun için önemli olmadığını söylersem? Muhtemelen hayal ürünü olduğumu düşüneceksin. Bakalım gerçekte nasıl?
Biz anlıyoruz
Böyle bir antivirüs şirketi yaşıyor ve yaşıyor . Bilgi güvenliği ile ilgili çeşitli ürünler üretmektedir. Ev kullanımı için ücretsiz ürünler bile var.
Ücretsiz sürümle ilgilenelim ve Alman meslektaşlarımızın ürününün neler yapabileceğini görelim. Arayüze bir göz atıyoruz; olağandışı bir şey yok. Şirketin başka bir ürünü olan Avira Password Manager'dan söz etmiyoruz.
Şimdi dikkat çekmeyen isimle bileşene bir göz atalım”Avira.PWM.NativeMessaging.exe"? .NET platformu için derlenmiştir ve hiçbir şekilde gizlenmemiştir, bu nedenle onu dnSpy'a yüklüyoruz ve program kodunu özgürce inceliyoruz.
Program bir konsol programıdır ve standart giriş akışında komutlar bekler. "'yi kullanan ana işlevOkumak" akıştan verileri okur, formatı kontrol eder ve komutu fonksiyona iletir "SüreçMesajı" Aynısı, iletilen komutun "ChromeŞifrelerini getir"Ya da"Kimlik bilgilerini getir" (gerçi diğer davranışın aynı olması ne fark eder ki?) ve sonra en ilginç kısım başlıyor - fonksiyonun çağrılması "Tarayıcı Kimlik Bilgilerini Al" Hatta ilginç... Bu isimdeki bir fonksiyon ne yapabilir?
Alışılmadık bir durum yok; yalnızca “Chrome”, “Opera” (Chromium tabanlı), “Firefox” ve “Edge” (Chromium tabanlı) İnternet tarayıcılarıyla çalışırken kaydedilen tüm kullanıcı hesaplarını tek bir listede toplar ve verileri bir JSON nesnesi.
Daha sonra toplanan verileri konsolda görüntüler:
Sorunun özü
- Bileşen, kullanıcı kimlik bilgilerini toplar;
- Bileşen, çağıran programı doğrulamaz (örneğin, üreticinin kendisinden bir dijital imzaya sahip olup olmadığına göre);
- Bileşenin "güvenilir" bir dijital imzası vardır ve diğer anti-virüs yazılımı üreticileri arasında şüphe uyandırmaz;
- Bileşen ayrı bir uygulama olarak çalışır.
IoC
SHA1: 13c95241e671b98342dba51741fd02621768ecd5.
Bu sorun için CVE-2020-12680 yayınlandı.
07.04.2020/XNUMX/XNUMX tarihinde bu sorunla ilgili şu adrese bir mektup gönderdim: [e-posta korumalı] и [e-posta korumalı] tam açıklamasıyla. Otomatik sistemlerden gelenler de dahil olmak üzere hiçbir yanıt mektubu yoktu. Bir ay sonra, açıklanan bileşen hâlâ Avira Free Antivirus dağıtımında dağıtılıyor.
Kaynak: habr.com