Điều gì sẽ xảy ra nếu tôi nói với bạn rằng chức năng duy nhất của một trong các thành phần phần mềm chống vi-rút có chữ ký số đáng tin cậy là thu thập tất cả thông tin xác thực của bạn được lưu trữ trong các trình duyệt Internet phổ biến? Điều gì sẽ xảy ra nếu tôi nói rằng việc thu thập chúng không quan trọng đối với anh ta? Chắc bạn sẽ nghĩ tôi bị ảo tưởng. Hãy xem thực tế nó như thế nào?
Sự hiểu biết
Sống và sống như một công ty chống vi-rút như . Sản xuất các sản phẩm khác nhau liên quan đến bảo mật thông tin. Thậm chí còn có những sản phẩm miễn phí để sử dụng tại nhà.
Hãy cùng quan tâm đến phiên bản miễn phí và xem sản phẩm của các đồng nghiệp người Đức của chúng ta có thể làm được gì. Chúng tôi nhìn qua giao diện - không có gì bất thường. Chúng tôi không tìm thấy bất kỳ đề cập nào đến một sản phẩm khác của công ty – Avira Pass Manager.
Chúng ta hãy xem thành phần có cái tên không thu hút được sự chú ý “Avira.PWM.NativeMessaging.exe"? Nó được biên dịch cho nền tảng .NET và không bị xáo trộn theo bất kỳ cách nào, vì vậy chúng tôi tải nó vào dnSpy và thoải mái nghiên cứu mã chương trình.
Chương trình này là một chương trình bảng điều khiển và nó yêu cầu các lệnh trong luồng đầu vào tiêu chuẩn. Chức năng chính sử dụng "Đọc" đọc dữ liệu từ luồng, kiểm tra định dạng và truyền lệnh tới hàm "Tin nhắn xử lý" Tương tự, lần lượt kiểm tra xem lệnh được truyền có phải là "tìm nạpMật khẩuChrome" hoặc là "tìm nạp thông tin xác thực" (mặc dù có gì khác biệt nếu hành vi tiếp theo giống nhau?) và sau đó phần thú vị nhất bắt đầu - gọi hàm "Truy xuất thông tin đăng nhập của trình duyệt" Nó thậm chí còn thú vị... một chức năng với cái tên đó có thể làm được gì?
Không có gì bất thường, nó chỉ đơn giản thu thập vào một danh sách tất cả các tài khoản người dùng được lưu khi làm việc với các trình duyệt Internet “Chrome”, “Opera” (dựa trên Chrome), “Firefox” và “Edge” (dựa trên Chrome) và trả về dữ liệu dưới dạng Đối tượng JSON.
Chà, sau đó nó sẽ hiển thị dữ liệu được thu thập trên bảng điều khiển:
Bản chất của vấn đề
- Thành phần này thu thập thông tin xác thực của người dùng;
- Thành phần này không xác minh chương trình gọi (ví dụ: liệu nó có chữ ký số từ chính nhà sản xuất hay không);
- Thành phần này có chữ ký số “đáng tin cậy” và không gây nghi ngờ đối với các nhà sản xuất phần mềm chống vi-rút khác;
- Thành phần này chạy như một ứng dụng riêng biệt.
IOC
SHA1: 13c95241e671b98342dba51741fd02621768ecd5.
CVE-2020-12680 đã được phát hành cho vấn đề này.
Ngày 07.04.2020/XNUMX/XNUMX tôi đã gửi thư về vấn đề này tới: [email được bảo vệ] и [email được bảo vệ] với mô tả đầy đủ. Không có thư phản hồi, kể cả từ hệ thống tự động. Một tháng sau, thành phần được mô tả vẫn được phân phối trong bản phân phối Avira Free Antivirus.
Nguồn: www.habr.com