Vladimir Palant, skepper van Adblock Plus,
Die oorsaak van die probleem is dat Bitdefender-antivirus plaaslike onderskepping van HTTPS-verkeer uitvoer deur die oorspronklike TLS-sertifikaat van die webwerf te vervang. 'n Bykomende wortelsertifikaat is op die kliënt se stelsel geïnstalleer, wat dit moontlik maak om die werking van die verkeersinspeksiestelsel wat gebruik word, te versteek. Die antivirus wig homself in beskermde verkeer en voeg sy eie JavaScript-kode in sommige bladsye in om die Veilige Soek-funksie te implementeer, en in die geval van probleme met die veilige verbindingsertifikaat, vervang dit die teruggekeerde foutbladsy met sy eie. Aangesien die nuwe foutbladsy bedien word namens die bediener wat oopgemaak word, het ander bladsye op daardie bediener volle toegang tot die inhoud wat deur Bitdefender ingevoeg is.
Wanneer 'n werf oopgemaak word wat deur 'n aanvaller beheer word, kan daardie werf 'n XMLHttpRequest stuur en probleme met die HTTPS-sertifikaat maak wanneer hulle reageer, wat sal lei tot die terugkeer van 'n foutbladsy wat deur Bitdefender bedrieg is. Aangesien die foutbladsy in die konteks van die aanvaller se domein oopgemaak word, kan hy die inhoud van die bedrieglike bladsy met Bitdefender-parameters lees. Die bladsy wat deur Bitdefender verskaf word, bevat ook 'n sessiesleutel waarmee u die interne Bitdefender API kan gebruik om 'n aparte Safepay-blaaiersessie te begin, wat arbitrêre opdragreëlvlae spesifiseer, en om enige stelselopdragte te begin deur die "--utility-cmd-prefix" te gebruik. vlag. 'n Voorbeeld van 'n uitbuiting (param1 en param2 is waardes verkry vanaf die foutbladsy):
var versoek = nuwe XMLHttpRequest();
request.open("POS", Math.random());
request.setRequestHeader("Inhoud-tipe", "toepassing/x-www-form-urlencoded");
request.setRequestHeader(«BDNDSS_B67EA559F21B487F861FDA8A44F01C50», param1);
request.setRequestHeader(«BDNDCA_BBACF84D61A04F9AA66019A14B035478», param2);
request.setRequestHeader(«BDNDWB_5056E556833D49C1AF4085CB254FC242», «obk.run»);
request.setRequestHeader(«BDNDOK_4E961A95B7B44CBCA1907D3D3643370D», location.href);
request.send("data:text/html,nada —utility-cmd-prefix=\"cmd.exe /k whoami & echo\"");
Laat ons onthou dat 'n studie wat in 2017 gedoen is
Slegs 11 van die 26 produkte het huidige syferreekse verskaf. 5 stelsels het nie sertifikate geverifieer nie (Kaspersky Internet Security 16 Mac, NOD32 AV 9, CYBERsitter, Net Nanny 7 Win, Net Nanny 7 Mac). Kaspersky Internet Security- en Total Security-produkte was onderhewig aan aanvalle
Bron: opennet.ru