Уязвимость в защищённом браузере Bitdefender SafePay, приводящая к выполнению кода

Владимир Палант, создатель Adblock Plus, выявил уязвимость (CVE-2020-8102) в основанном на движке Chromium специализированном web-браузере Safepay, предлагаемом в составе антивирусного пакета Bitdefender Total Security 2020 и нацеленном на повышение безопасности работы пользователя в глобальной сети (например, предоставляется дополнительная изоляция при обращении к банкам и платёжным системам). Уязвимость даёт возможность открываемым в браузере сайтам выполнить произвольный код на уровне операционной системы.

Причина проблемы в том, что антивирус Bitdefender выполняет локальный перехват HTTPS-трафика через подмену оригинального TLS-сертификата сайта. На системе клиента устанавливается дополнительный корневой сертификат, позволяющий скрыть работу применяемой системы инспектирования трафика. Антивирус вклинивается в защищённый трафик и подставляет в некоторые страницы собственный JavaScript-код для реализации функции Safe Search, а в случае проблем с сертификатом защищённого соединения подменяет выдаваемую страницу с ошибкой на собственную. Так как новая страница с ошибкой выдаётся от имени открываемого сервера, другие страницы данного сервера имеют полный доступ к содержимому, вставляемому Bitdefender.

При открытии подконтрольного злоумышленнику сайта, этот сайт может отправить запрос XMLHttpRequest и симулировать при ответе проблемы с HTTPS-сертификатом, что приведёт к возврату страницы с ошибкой, подменённой Bitdefender. Так как страница с ошибкой открыта в контексте домена атакующего, он может прочитать содержимое подменённой страницы с параметрами Bitdefender. На подставляемой Bitdefender странице в том числе присутствует сессионный ключ, позволяющий при помощи внутреннего API Bitdefender запустить отдельный сеанс браузера Safepay, указав при этом произвольные флаги командной строки, и добиться запуска любых системных команд при помощи флага «—utility-cmd-prefix». Пример эксплоита (param1 и param2 — значения, полученные со страницы с ошибкой):

var request = new XMLHttpRequest();
request.open(«POST», Math.random());
request.setRequestHeader(«Content-type», «application/x-www-form-urlencoded»);
request.setRequestHeader(«BDNDSS_B67EA559F21B487F861FDA8A44F01C50», param1);
request.setRequestHeader(«BDNDCA_BBACF84D61A04F9AA66019A14B035478», param2);
request.setRequestHeader(«BDNDWB_5056E556833D49C1AF4085CB254FC242», «obk.run»);
request.setRequestHeader(«BDNDOK_4E961A95B7B44CBCA1907D3D3643370D», location.href);
request.send(«data:text/html,nada —utility-cmd-prefix=\»cmd.exe /k whoami & echo\»»);

Напомним, что проведённое в 2017 году исследование показало, что 24 из 26 протестированных антивирусных продуктов, инспектирующих HTTPS-трафик через подмену сертификатов, снижали общий уровень безопасности HTTPS-соединения.
Актуальные наборы шифров предоставлялись только в 11 из 26 продуктов. 5 систем не осуществляли верификацию сертификатов (Kaspersky Internet Security 16 Mac, NOD32 AV 9, CYBERsitter, Net Nanny 7 Win, Net Nanny 7 Mac). Продукты Kaspersky Internet Security и Total Security были подвержены атаке CRIME, а продукты AVG, Bitdefender и Bullguard атакам Logjam и POODLE. Продукт Dr.Web Antivirus 11 позволяет откатиться на ненадёжные экспортные шифры (атака FREAK).

Источник: opennet.ru