Ishonchli raqamli imzoga ega bo'lgan virusga qarshi dastur komponentlaridan birining yagona vazifasi mashhur Internet-brauzerlarda saqlangan barcha hisob ma'lumotlaringizni yig'ish ekanligini aytsam-chi? Agar men ularni yig'ish kimning manfaati uchun muhim emas, desam-chi? Siz meni xayolparast deb o'ylaysiz. Ko'ramiz, bu haqiqatan ham qanday?
Tushunish
kabi antivirus kompaniyasi yashaydi va yashaydi . Axborot xavfsizligi bilan bog'liq turli xil mahsulotlarni ishlab chiqaradi. Hatto uyda foydalanish uchun bepul mahsulotlar ham mavjud.
Keling, bepul versiyaga qiziqamiz va nemis hamkasblarimiz mahsuloti nima qila olishini ko'ramiz. Biz interfeysga qaraymiz - g'ayrioddiy narsa yo'q. Biz kompaniyaning boshqa mahsulotlari - Avira Password Manager haqida hech qanday eslatma topa olmadik.
Keling, e'tiborni jalb qilmaydigan nomli komponentni ko'rib chiqaylik "Avira.PWM.NativeMessaging.exe"? U .NET platformasi uchun tuzilgan va hech qanday tarzda xiralashgan emas, shuning uchun biz uni dnSpy-ga yuklaymiz va dastur kodini erkin o'rganamiz.
Dastur konsol dasturi bo'lib, u standart kirish oqimida buyruqlarni kutadi. Asosiy funktsiyadan foydalanisho'qing"oqimdagi ma'lumotlarni o'qiydi, formatni tekshiradi va buyruqni funktsiyaga o'tkazadi"ProcessMessage" Xuddi shu narsa, o'z navbatida, uzatilgan buyruq "" ekanligini tekshiradi.fetchChromePasswords"yoki"fetchCredentials"(garchi keyingi xatti-harakatlar bir xil bo'lsa, bu qanday farq qiladi?) va keyin eng qiziqarli qism boshlanadi - funktsiyani chaqirish "Brauzer hisob ma'lumotlarini oling" Hatto qiziq... bu nomdagi funksiya nima qila oladi?
Hech qanday g'ayrioddiy narsa yo'q, u "Chrome", "Opera" (Chromium asosidagi), "Firefox" va "Edge" (Chromium asosida) Internet-brauzerlari bilan ishlashda saqlangan barcha foydalanuvchi hisoblarini bitta ro'yxatga to'playdi va ma'lumotlarni o'z ichiga oladi. JSON obyekti.
Xo'sh, keyin u to'plangan ma'lumotlarni konsolga ko'rsatadi:
Muammoning mohiyati
- Komponent foydalanuvchi hisob ma'lumotlarini to'playdi;
- Komponent qo'ng'iroq qiluvchi dasturni tekshirmaydi (masalan, ishlab chiqaruvchining raqamli imzosi bor-yo'qligi bilan);
- Komponent "ishonchli" raqamli imzoga ega va boshqa antivirus dasturlari ishlab chiqaruvchilari orasida shubha tug'dirmaydi;
- Komponent alohida dastur sifatida ishlaydi.
IoC
SHA1: 13c95241e671b98342dba51741fd02621768ecd5.
Ushbu masala uchun CVE-2020-12680 chiqarildi.
07.04.2020 da men ushbu muammo haqida xat yubordim: [elektron pochta bilan himoyalangan] ΠΈ [elektron pochta bilan himoyalangan] to'liq tavsifi bilan. Hech qanday javob xatlari, shu jumladan avtomatik tizimlardan ham bo'lmadi. Bir oy o'tgach, tasvirlangan komponent hali ham Avira Free Antivirus tarqatishda tarqatiladi.
Manba: www.habr.com